Bankovní institut vysoká škola Praha
Bezpečnost bezhotovostního platebního styku Bakalářská práce
Monika Votrubcová
Duben, 2015
Bankovní institut vysoká škola Praha Katedra financí a ekonomie
Bezpečnost bezhotovostního platebního styku
Bakalářská práce
Autor:
Monika Votrubcová Bankovní management
Vedoucí práce:
Praha
Ing. Marcela Soldánová
Duben, 2015
Prohlášení Prohlašuji, že jsem bakalářskou práci zpracovala samostatně a v seznamu uvedla veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámena se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Rovensku pod Troskami dne 18. 4. 2015
Monika Votrubcová
Poděkování Tímto bych ráda poděkovala vedoucí mé bakalářské práce paní Ing. Marcele Soldánové za všestrannou pomoc, množství inspirativních rad, podnětů, připomínek a velkou trpělivost s obdivuhodnou ochotou při konzultacích poskytnutých ke zpracování bakalářské práce. Dále chci poděkovat manželovi a dcerám za to, že mne během studia psychicky podporovali, fandili mi a převzali odpovědnost za chod domácnosti a v závěru děkuji mým kamarádkám, které se mnou každý úspěch řádně oslavily.
Anotace V této bakalářské práci jsou charakterizována rizika bezhotovostního platebního styku a poskytnut přehled zabezpečení proti útokům neoprávněných osob. Nejdříve je zde představen platební styk, se zaměřením na jeho bezhotovostní formu s analýzou historického vývoje v České republice. Poté je uveden všeobecný přehled forem podvodů a rizik při výběru z bankomatů a používání internetového bankovnictví. Následně jsou analyzovány případy skimmingu a kybernetických útoků na účty klientů, které proběhly na našem území do konce roku 2014, kde jsou i okrajově zmíněny největší útoky loňského roku ve světě. Je zde provedena analýza minivýzkumu s cílem zjistit, co je považováno v bezhotovostním platebním styku za nejméně bezpečné. V závěru jsou uvedeny pravidla bezpečného chování při výběru z bankomatu a při používání internetového bankovnictví s uvedením výčtu opatření, která podniká Česká vláda k zajištění kybernetické bezpečnosti.
Klíčová slova: bezhotovostní platební styk platební karta bankomat internetové bankovnictví útok / podvod riziko zabezpečení
Annotation This dissertation describes the characteristics of the online payment transactions and it provides the summary of precautions regarding the unauthorized cyberattack. At the beginning, the different kinds of the payment transactions are introduced, with the focus on its cashless form, especially its development in the Czech Republic. Moreover, the general summary of various kinds of frauds and risks regarding cash withdrawal and internet banking is provided. Furthermore, some cases of skimming and cyberattacks on the clients´ bank accounts are analyzed. All of these attacks were implemented in the Czech Republic until the end of 2014. Some serious attacks from 2014 worldwide are also mentioned. Here you can see an analysis of a small research. Its targer was to find out what is considered to be the most unsecured or unsafe during the online payment transactions. Eventually, some safe procedures and precautions determined by the government of the Czech Republic regarding safe cash withdrawal and use of internet banking are recommended.
Keywords: cashless payments credit card ATM / Automated Teller Machine Internet Banking attac / scam risk safety
Obsah Úvod ........................................................................................................................................... 9 Zvolené metody zpracování ................................................................................................... 11 1
Bezhotovostní platební styk ............................................................................................ 12 1.1 Historický vývoj bezhotovostního platebního styku na našem území ....................... 13 1.2 Rozdělení forem platebního styku ............................................................................. 17 1.3 Nástroje bezhotovostního platebního styku ............................................................... 18 1.3.1
Příkazy k zúčtování ..................................................................................... 18
1.3.2
Šeky ............................................................................................................. 20
1.3.3
Platební karty............................................................................................... 21
1.3.4
Bankomaty .................................................................................................. 25
1.4 Elektronický platební styk ......................................................................................... 26 1.4.1
Formy elektronického bankovnictví............................................................ 27
1.4.2
Elektronické peníze ..................................................................................... 28
1.5 Právní úprava bezhotovostního platebního styku ...................................................... 30 1.6 Shrnutí vývoje bezhotovostního platebního styku ..................................................... 32 2
Rizika zneužití neoprávněnými osobami při bezhotovostních platbách .................... 33 2.1 Všeobecný popis jednotlivých forem podvodů ......................................................... 33 2.2 Podvody zaznamenané na našem území .................................................................... 35 2.2.1
Útoky na bankomaty - skimming ................................................................ 36
2.2.2
Útoky na bankomaty - prostřednictvím malware ........................................ 39
2.2.3
Útoky na účty klientů internetového bankovnictví – kyberkriminalita....... 40
2.3 Největší počítačové a mobilní hrozby roku 2014 ve světě ........................................ 47 2.4 Fáze kyberútoků na účty klientů – nakazí se počítač a poté mobil ............................ 53 2.5 Minivýzkum bezpečnosti bezhotovostního platebního styku .................................... 57 2.6 Shrnutí rizik ............................................................................................................... 59 3
Zabezpečení proti útokům - podvodům ........................................................................ 61 3.1 Bezpečné chování při výběru z bankomatu ............................................................... 61 3.2 Obrana proti kyberútokům při používání internetového bankovnictví ...................... 62 3.3 Opatření Vlády ČR v boji proti kyberkriminalitě ...................................................... 66 3.4 Řešení sporů ............................................................................................................... 68 7
3.5 Očekávaný vývoj útoků ............................................................................................. 70 3.6 Shrnutí bezpečnostních opatření ................................................................................ 71 Závěr ........................................................................................................................................ 72 Seznam použité literatury ...................................................................................................... 76 Seznam obrázků...................................................................................................................... 86 Seznam tabulek ....................................................................................................................... 86 Seznam grafů .......................................................................................................................... 86 Seznam příloh ......................................................................................................................... 86
8
Úvod Využívání bezhotovostního platebního styku se v současné době stává běžnou součástí našich každodenních činností. Nikdo z nás si již nedovede představit život bez běžného účtu, prostřednictvím něhož realizujeme různé platby, představa nákupů bez použití platební karty také většinou děsí a to, že by bylo nutné kvůli každé bezhotovostní transakci navštívit pobočku a nebylo by možné využívat internetové bankovnictví je v dnešní době téměř nepředstavitelné. Bohužel současně s vývojem platebního styku, s postupným přechodem od hotovostní formy placení k bezhotovostní a vlivem technologického vývoje, dochází i k rychlému vývoji podvodných technik, kdy se různí nepoctivci snaží získat finanční prostředky nekalým způsobem. Cílem této bakalářské práce je charakteristika rizik bezhotovostního platebního styku a poskytnutí přehledu zabezpečení proti útokům neoprávněných osob. Nejdříve je zde charakterizován platební styk, se zaměřením na jeho bezhotovostní formu. Poté jsou analyzovány rizika při používání platebních karet, při výběru z bankomatů a hlavně rizika, která vznikají při využívání internetového bankovnictví. Je čerpáno z hackerských útoků zaznamenaných na území České republiky do konce roku 2014, ale jsou zde i okrajově zmíněny největší útoky loňského roku ve světě. Je zde uvedeno poskytnutí přehledu zabezpečení proti útokům neoprávněných osob, postup jak jednat v případě, že se klient již stane obětí podvodníků a opatření vlády ČR. Práce je rozdělena do 3 kapitol, kdy v první kapitole je popisován bezhotovostní platební styk, jeho historický vývoj od vzniku peněz až po současnost se zaměřením na ČR. Najdeme zde základní rozdělení forem platebního styku, charakteristiku nástrojů bezhotovostního platebního styku - příkazů k zúčtování, šeků, platebních karet a bankomatů. Jsou zde představeny novodobé trendy v platebním styku - elektronický platební styk, jeho formy a vývoj. V závěru této kapitoly je vymezena právní úprava bezhotovostního platebního styku. V druhé
kapitole
jsou
představena
rizika
zneužití
neoprávněnými
osobami
při
bezhotovostních platbách, kdy jsou nejdříve popisovány všeobecné formy jednotlivých podvodů. Následuje popis útoků, které byly zaznamenány na území ČR, kdy nejdříve je analyzován skimming na bankomatech (umístění kopírovacího zařízení), je zde uveden jeho 9
praktický příklad a přehled případů a objasněnosti v letech 2005-2014. Dále jsou představeny útoky na bankomaty prostřednictvím umístění škodlivých programů - malware, což je novodobější jev, kdy první větší takový útok byl na našem území zaznamenán v roce 2013. Poté jsou analyzovány útoky na účty klientů internetového bankovnictví - kyberkriminalita. Jsou zde popisovány největší vlny útoků v letech 2013-2014 na našem území a okrajově zmíněny nejzávažnější počítačové a mobilní hrozby roku 2014 zaznamenané ve světě. V závěru druhé kapitoly jsou uvedeny výsledky minivýzkumu bezpečnosti, kdy bylo zkoumání provedeno dotazníkovou metodou s cílem zjistit, co lidé považují za nejméně bezpečné, kdy byl dán výběr z těchto možností – internetové bankovnictví, platba kartou v internetových obchodech, platba bezkontaktní kartou, výběr z bankomatu, vše je bezpečné a vše ne nebezpečné. Obsahem třetí kapitoly je zabezpečení proti útokům - podvodům, kde je uvedeno bezpečné chování při výběru z bankomatu a způsob obrany proti útokům při používání internetového bankovnictví, s rozpisem desatera bezpečného chování. Následuje popis opatření, která podniká Česká vláda zřízením Národního centra kybernetické bezpečnosti a schválením zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Poté je popisován postup řešení v případě, že jsou klientovi neoprávněně odčerpány finanční prostředky z účtu a v závěru třetí kapitoly je uveden očekávaný vývoj kybernetických útoků. Pro větší přehlednost jsou do textu vloženy obrázky a tabulky, kdy je zde i názorně předveden průběh konkrétního útoku na klienty internetového bankovnictví České spořitelny, ve kterém se podvodníci nejdříve snažili infikovat počítače klientů prostřednictvím podvodné e-mailové zprávy a poté se snažili ovládnout jejich mobilní telefony. Obsah příloh se vztahuje k první kapitole – kdy je zde vložena tabulka rozdělení platebního styku; charakteristika inkasního příkazu, princip jeho fungování se vzorem formuláře SIPO; vzor trvalého příkazu a ukázka šeků a reklamy na ně.
10
Zvolené metody zpracování V bakalářské práci byly zvoleny metody zpracování – komparace, analýza, dedukce. Metoda komparace a analýzy byla zvolena v první kapitole s názvem „Bezhotovostní platební styk“, kde je nejdříve všeobecně uvedeno, co je to platební styk s komparací definic Judr. Ing. O. Schlossbergera, Ph.D a Ing. Z. Kalabise. Poté popsán jeho vývoj od vzniku peněz, přechod jeho forem od hotovostních na bezhotovostní formy, s analýzou historického vývoje bezhotovostního pl. styku na našem území. Poté byla provedena komparace charakteristiky platební karty - vymezení pojmů odborníků na platební styk Judr. Ing. O. Schlossbergera, Ph.D., v porovnání s doc. Ing. P. Dvořákem, Ph.D. Další podstatná část je věnována elektronickému platebnímu styku, kde jsou uvedeny formy elektronického bankovnictví se zaměřením na elektronické peníze, kde je komparována již neplatná právní úprava vymezení pojmů „Elektronický platební prostředek a elektronické peníze“, která byla uvedena v dříve platném zák. č. 124/2002 Sb., o převodech peněžních prostředků v porovnání s nově platnou právní úpravou uvedenou v zákoně č. 284/2009 Sb., o platebním styku a charakteristika pojmu „Elektronická peněženka“, kterou uvádí ve své publikaci Ing. Pavel Juřík. V závěru je malá dedukce o možném technologickém vývoji elektronických čipů. V druhé kapitole s názvem „Rizika zneužití neoprávněnými osobami při bezhotovostních platbách“ jsou v úvodu charakterizovány všeobecné formy podvodů a následně je analyzován vývoj skimmingu v ČR v rozmezí let 2005-2014. Poté je provedena analýza vln útoků na účty klientů internetového bankovnictví v letech 2013-2014 na našem území, s ukázkou průběhu kyberútoku na klienty České spořitelny. Následně je analyzován minivýzkum, který byl proveden s cílem zjistit, co je považováno uživateli bezhotovostního platebního styku za nejméně bezpečné. Ke konci této kapitoly je dedukce o tom, proč jsou útoky na uživatele internetového bankovnictví tak úspěšné. Obsahem třetí kapitoly s názvem „Zabezpečení proti útokům - podvodům“, je uvedení pravidel bezpečného chování při výběru z bankomatu, popis bezpečného chování při používání internetového bankovnictví s uvedením bezpečnostního desatera. Následuje výčet opatření České vlády při zajištění kybernetické bezpečnosti s krátkou dedukcí o očekávaném vývoji útoků. 11
1 Bezhotovostní platební styk V této úvodní kapitole bude charakterizován platební styk, historický vývoj platebního styku na našem území, formy platebního styku, nástroje platebního styku a současná právní úprava se zaměřením na bezhotovostní platební styk. Zjednodušené vysvětlení platebního styku je, že se jedná o proces přesunu finančních prostředků od jednoho subjektu k druhému. V platebním styku jde o vztahy mezi těmito subjekty, mezi tím, kdo platbu provádí a kdo ji přijímá. Přesun prostředků se provádí určitým postupem a to buď přímo od plátce k příjemci, nebo prostřednictvím třetích osob, které se nazývají finanční instituce. V odborné literatuře jsou různé definice platebního styku, kdy mi přišla nejvýstižnější definice uvedená v knize Platební služby od O. Schlossbergera v níž uvádí, že platební styk je peněžní vztah mezi plátcem a příjemcem, který je uskutečňován v určitých formách dohodnutými platebními instrumenty buď přímo mezi nimi, nebo prostřednictvím k tomu určených subjektů (např. bank nebo spořitelních a úvěrních družstev).1 Ing. Zbyněk Kalabis ve své knize Základy bankovnictví definuje bankovní platební styk jako převod finančních prostředků z účtu A na účet B, resp. od klienta A ke klientovi B, kdy dále rozděluje platební styk na hotovostní, který využívá bankovky a mince a bezhotovostní platební styk, který probíhá prostřednictvím bank, kdy platba je provedena prostřednictvím tzv. „účetních peněz“, tj. výhradně zápisem na vrub a ve prospěch účtu vedeného u banky. 2 Počátky platebního styku jsou datovány do dávné historie a souvisejí s postupným vývojem peněz. Se vznikem civilizací bylo potřeba řešit směnu různého zboží, ale nebylo vždy jednoduché najít člověka, který nabízel zboží stejné požadované hodnoty, a z tohoto důvodu se vymýšlelo něco, co bylo považováno jako všeobecná hodnota. K těmto účelům sloužilo např. v Babylonii obilí, v Číně mušličky, staří Slované používali ke směně plátno a ještě v dnešní době jsou někde ke směně používány cigarety. V průběhu staletí se jako nejvhodnější k těmto účelům ukázalo zlato, z něhož se začaly postupem času razit mince, ale pro
1
SCHLOSSBERGER O. Platební služby. 1.vyd. Praha: Management Press, 2012. s.11. ISBN 978-80-7261-2383. 2 KALABIS, Zbyněk. Základy bankovnictví: Bankovní obchody, služby, operace a rizika. 1.vyd. Brno: BizBooks, 2012. s.43. ISBN 978-80-265-0001-8.
12
manipulaci s většími částkami byly mince nepohodlné a tak bylo potřeba vymyslet něco jiného a vznikly papírové peníze – bankovky.
3
Nejprve bankovky vydávali zlatníci a
bankovky sloužily jen jako potvrzení, že dotyčný má u nich uloženo zlato, nebo mince v požadované hodnotě. Později úlohu zlatníků převzali tzv. peněžníci, kteří zajišťovali úschovu peněz a jejich výměnu. Vzhledem k tomu, že obíhající mince byly různorodé, při obchodování bylo nutno požadovanou částku vyjádřit v hodnotách různých mincí, vznikla činnost směnárenská, kterou prováděli obchodníci – směnárníci a tak se tyto operace postupem času přesouvají mimo církevní objekty, kam lidé zpočátku nosili svůj majetek a cennosti k bezpečné úschově. První zmínky o těchto obchodech se objevují již v osmnáctém století před naším letopočtem v Babylónii a v antickém Řecku. Velký rozmach transakcí je zaznamenám ve starověkém Římě, odkud pochází slova „banka“, které vzniklo z italského názvu „il banco“ – což byl stůl, na kterém se prováděly finanční obchody. Při těchto obchodech často docházelo k hádkám a fyzickému napadení, kdy byl stůl převržen a máme zde slovo bankrot pocházející z italského „banca rotta“. Rozmach bankovnictví byl značný za průmyslové revoluce, kdy bylo nutno řešit potřebu většího množství finančních služeb a ústavů, a tak dochází k postupnému vývoji platebního styku až do dnešní podoby. 4
1.1
Historický vývoj bezhotovostního platebního styku na našem území
K výraznému růstu plateb realizovaných bez hotových peněz dochází na našem území již v 19. století, kdy Československo převzalo organizaci platebního styku z dob RakouskaUherska. Platby se prováděly prostřednictvím žirových účtů, kde docházelo k vzájemnému proúčtování mezi jejich majiteli, ale pouze v případě, že obě strany měly účet u stejného ústavu. V případě, že bylo potřeba převést prostředky v rámci různých ústavů, byl rozšířen způsob tzv. skontací (odúčtovacím řízením), kdy si banky závazky a pohledávky nevyrovnávaly navzájem, ale zaplatily až konečné saldo nadřízené centrále a to prostřednictvím svých u ní vedených žirových účtů. Tyto transakce formálně zastřešovalo
3
Historie peněz. Vysoký úrok [online]. 2008-2014 [cit.2014-18-09]. Dostupné z: http://www.vysokyurok.cz/ historie-penez 4 Historie bank. Peníze.org [online]. 2006-2014 [cit.2014-01-10]. Dostupné z: http://www.penize. org/bankyhistorie
13
tzv. odúčtovací sdružení, kde v čele stál zástupce cedulové banky (což je starší označení pro centrální emisní banku). V České republice působila tři tato sdružení – Pražské odúčtovací sdružení (1895), Brněnský odúčtovací spolek (1895) a Bratislavský odúčtovací spolek (1922). Nejprve byly tyto spolky pod dohledem Bankovního úřadu ministerstva financí a po roce 1926 prováděla dohled Národní banka Československá. V období 2. světové války - v roce 1939 byla Národní banka Československá rozdělena na Národní banku pro Čechy a Moravu a Slovenskou národní banku a všechny bankovní instituce spadaly pod německý bankovní dohled. Důvodem byla snaha okupačních úřadů koncentrovat prostředky na účtech českého peněžnictví, propojit je s říšskými a připravit na jejich převod do Velkoněmecké říše. Po válce byly všechny žirocentrály od říšskoněmeckého ústředí odtrženy a Národní banka se snaží o opětovné spojení. Po r. 1948 dochází k sjednocení způsobu provádění platebního styku na všech úrovních, kdy hlavní zodpovědnost za provádění platebního styku byla svěřena Poštovní spořitelně, jejíž platební instrumenty začínají využívat i ostatní instituce (např. výplatní lístky) - vytvářejí se tak předpoklady pro rozvoj bezhotovostního platebního styku, odúčtovací sdružení r. 1949 zaniká a v roce 1950 vzniká Státní banka Československá. Při jejím vzniku bylo potřeba sloučit dva odlišné systémy platebního styku provozované obchodními bankami (a Národní bankou Československou) a Poštovní spořitelnou, při čemž vzniká nový instrument „ inkasní příkaz“ – kdy příkaz k platbě nedával majitel účtu, ale dodavatel služeb. V tomto období vzniká tzv. okruhový platební systém, kdy Státní banka Československá (SBČS) decentralizuje operativní činnosti – účty veřejné správy a pojišťoven jsou převedeny na okresní pobočky Státní banky a ve městech, kde nejsou pobočky banky, byly tyto činnosti převedeny na Okresní spořitelny a záložny, účty lidového peněžnictví pak byly převedeny na krajské pobočky. Zároveň byl na pobočky SBČS přenesen systém šekové služby, jehož podstatou jsou tzv. spojovací účty, na kterých se soustředí platební obraty pro jednotky peněžnictví v rámci okresních poboček Státní banky a operace je přesahující vyřizovaly krajské pobočky. Tento systém se neosvědčil z důvodu zpožďování plateb, ke kterým docházelo z nejistoty, jelikož peněžní ústavy prováděly vzájemné zúčtování až poté, co jim avizované úhrady byly připsány na spojovacích účtech. Dalším nedostatkem tohoto systému
14
bylo zrušení vzájemného odsouhlasení stavů a obratů účtů, následkem čehož často docházelo k tomu, že platba byla zaúčtována i vícekrát. Již začátkem roku 1952 byla situace neúnosná a ve spolupráci se sovětskými poradci vzniká nový systém „mezipobočkový platební styk“, kde byla namísto zúčtovacích okruhů s centrálními účtovnami zavedena oblastní a ústřední kontrola. Účty hospodářských, rozpočtových a jiných organizací se povinně soustředily pod SBČS a Investiční banku a minimalizoval se u těchto organizací hotovostní platební styk. S vývojem výpočetní techniky vznikají v období let 1968-1972 na centrálních pobočkách v Praze a Bratislavě výpočetní střediska pro zpracování dat, která se postupně napojují na krajské sběrné pobočky. V roce 1980 dochází ke spuštění systému ABO – Automatizace bankovních operací, kdy je do systému zapojena též SBČS. Tento systém vedl účty všem státním podnikům a institucím, byly vzájemně propojeny i peněžní ústavy fungující v té době na území Československa (Česká státní spořitelna, Slovenská štátna sporiťelňa, Československá obchodní banka, Živnostenská banka a Investiční banka) a tímto systémem je zajišťován i mezibankovní platební styk. Po roce 1990 – s pádem totalitního režimu přicházejí velké změny ve vývoji bezhotovostního platebního styku. SBČS eviduje řadu žádostí nově zakládaných bank, které chtěly začít nabízet své služby a systém ABO, který byl doposud schopný zajistit přesuny mezi bankami na bázi „každý s každým“, kdy byla jedenkrát denně, o těchto transakcích informována centrální banka, se pro velký počet nově založených bank stává nedostačující. Z tohoto důvodu vyvinula SBČS nový, zcela automatizovaný platební systém, kterému se vžil název CERTIS (Czech-Real-Time Interbank System), který počal fungovat v r. 1992 a je založen na principu clearingového (zúčtovacího) centra, které zajišťuje veškerý mezibankovní styk na území ČR, avšak pouze v českých korunách. Sídlí v ústředí centrální banky a komunikuje pouze s centrálami jednotlivých bank. Pro každou banku je zde veden pouze jeden účet mezibankovního platebního styku. Pokud se jedná o platební styk mezi klienty téže banky, probíhá v jejich síti a bez zásahu CERTIS. Pokud se jedná o mezibankovní platební styk, banka vyčlení tyto převody a předá je v elektronické podobě do CERTIS. V případě dostatku peněžních prostředků na účtu plátce (na účtech mezibankovního platebního styku není povoleno debetní saldo) je účet banky plátce debetován a účet banky příjemce je kreditován. 15
V roce 1993 dochází k rozdělení Československa, zaniká Státní banka Československá, vzniká Česká národní banka a způsob systému CERTIS přebírá i Slovenská centrální banka. V systému CERTIS je každý účastníka jednoznačně idenfitikován podle kódu banky, který je povinnou součástí transakce. Dřívější systém ABO nezaniká, ale je nadále využíván centrální bankou k vedení jejího účetnictví a k poskytování bankovních služeb státu, jehož je ČNB bankou. V systému ABO, jsou tedy vedeny účty státu, jež jsou napojeny na státní rozpočet. Veškeré pobočky ČNB jsou komunikačně propojeny s ústředím v Praze, kde probíhá vlastní zpracování. Tak jako v minulosti SBČS věnuje i v současnosti ČNB značnou pozornost vývoji nových bezhotovostních platebních prostředků. Důvodem je snaha zajistit maximální ochranu účastníků těchto transakcí.5 (Historický vývoj bezhotovostního platebního styku v ČR je uveden na následujícím obrázku). V roce 2014 zpracovalo zúčtovací centrum ČNB celkem 549,2 mil. položek v celkové hodnotě 222 530 mld. Kč. Průměr činil 2,18 mil. položek denně. Průměrná denní hodnota položek činila 883 mld. Kč. 6 Obrázek 1: Historický vývoj bezhotovostního platebního styku na našem území
Zdroj : Historie ČNB. Česká národní banka [online]. 2003-2014 [cit.2014-09-10]. Dostupné z: http://www. historie.cnb.cz/cs/bezhotovostní-platebni-styk; konstrukce vlastní 5
Historie ČNB. Česká národní banka [online]. 2003-2014 [cit.2014-09-10]. Dostupné z: http://www.historie. cnb.cz/cs/bezhotovostní-platebni-styk 6 Platební styk, Certis, statistické údaje. Česká národní banka[online]. 2003-2015 [cit.2015-02-03]. Dostupné z: https://www.cnb.cz/cs/platebni_styk/certis/certis_stat.html
16
1.2
Rozdělení forem platebního styku
V současné době rozdělujeme platební styk dle různých kritérií, kdy základním rozdělením forem platebního styku je: ►► dle způsobu placení: ►hotovostní platební styk - kdy dochází k přesunu peněz mezi plátcem a příjemcem ve formě mincí a bankovek, kde je účast finanční instituce pouze v případě, že jsou vkládány peněžní prostředky na platební účet; ►bezhotovostní platební styk - který probíhá mezi účty plátce a příjemce pouze jako přesun peněz ve formě záznamů na účtech a vždy za účasti zprostředkovatele, kterými jsou banky, spořitelní a úvěrní družstva; ►►dle územního členění (teritoria): ►vnitrostátní platební styk - plátce a příjemce (případně jejich poskytovatelé platebních služeb) se nacházejí na území stejného státu; ►přeshraniční platební styk – plátce a příjemce (poskytovatelé) se nacházejí v různých státech, ale pouze Evropského hospodářského prostoru; ►zahraniční platební styk – poskytovatel platebního styku plátce a poskytovatel platebního styku příjemce se nacházejí v různých státech mimo Evropský hospodářský prostor; ►►dle náležitosti průvodních dokumentů: ►nedokumentární platební styk – tzv. hladké platby, které nejsou doprovázeny žádnými dokumenty při jejich realizaci; ►dokumentární platby – převod peněžních prostředků proběhne až po předložení předem dohodnutých dokumentů (např. při prodeji nemovitosti – zápis na listu vlastnictví); ►►dle lhůty realizace: ►expresní platební styk (přednostní) -
okamžité odepsání peněžních prostředků z účtu
plátce, kdy tyto prostředky jsou na platební účet příjemce připsány v týž samý den; ►standartní platební styk – běžný přesun peněžních prostředků od plátce k příjemci zprostředkovaný jejich poskytovali platebních služeb dle předem dohodnutých podmínek; ►►dle vztahu banky k převodu: ►bezzávazkový platební styk - platební transakci poskytovatel pouze zprostředkovává; ►závazkový platební styk – strany se dohodnou, že banka, nebo jiná instituce (která má licenci) může vstoupit do závazků, pak ale tato instituce nevystupuje pouze jako prostředník, 17
ale přecházejí na ni povinnosti plátce.7 Tabulku přehledného rozdělení platebního styku nalezneme v příloze č. 1.
1.3
Nástroje bezhotovostního platebního styku
„Nástrojem platebního styku rozumíme druh instrumentu, na základě kterého banky a jiné instituce provádějí platební operace“.8 Při bezhotovostním platebním styku dochází k převodu peněž od jednoho subjektu k druhému za použití tzv. účetních peněž, které jsou připisovány na „vrub“ nebo „ve prospěch účtu klienta“. Pomocí těchto nástrojů dáváme pokyn bance k převodu, a to buď osobně v bance na přepážce – pomocí stanovených tiskopisů nebo prostřednictvím moderních technologií.
1.3.1 Příkazy k zúčtování Pod pojmem „ příkazy k zúčtování“ rozumíme příkaz k úhradě a příkaz k inkasu. 9 U příkazů k zúčtování záleží na tom, kdo dává pokyn k převodu peněžních prostředků. ►Příkaz k inkasu – majitel účtu dává souhlas, aby příjemce platby podal bance příkaz k odepsání požadované částky na vrub účtu majitele. Inkasní způsob platby je v dnešní době natolik znám, že není třeba jej dále rozepisovat, nicméně pro ty, kteří mají zájem se dozvědět více, jsou další informace včetně formuláře SIPO uvedeny v příloze č. 2. ►Příkaz k úhradě – K převodu požadované částky ze svého účtu na účet příjemce dává bance příkaz majitel. Je využíván pro úhradu zboží, služeb a jiné tzv. hladké (bezzávazkové) platby. Dochází zde k jednoduchému zúčtování mezi bankou plátce a bankou příjemce. Mezi jeho výhody patří rychlost, jednoduchost, vzhledem k nízké režii na pořízení i levnost a lze u něho stanovit požadovaný datum splatnosti. Příkaz k úhradě lze předat bance na přepážce na stanoveném formuláři, nebo v dnešní době rozšířenějším způsobem – elektronicky.
7
SCHLOSSBERGER,Otakar. Platební služby. s.12-13. MÁČE, Miroslav. Platební styk: klasický a elektronický . Praha:Grada , 2006. s.34. ISBN 80-247-1725-5. 9 KALABIS, Zbyněk. Základy bankovnictví: Bankovní obchody, služby, operace a rizika. s.56. 8
18
Prostřednictvím příkazů k úhradě probíhá největší objem bezhotovostních plateb. Příkazy k úhradě dělíme podle počtu položek k zúčtování na daném formuláři a dle požadované opakovanosti plateb. Jednotlivý příkaz k úhradě - příkaz k provedení pouze jedné platby. Hromadný příkaz k úhradě - na jednom formuláři plátce zadává pokyn k převodu více plateb s různými částkami na účty více příjemců, tzn. plátce tak nemusí vypisovat pro každou položku jednotlivý příkaz a banka má jednodušší práci při zadávání do elektronických systémů. 10 Trvalý příkaz k úhradě - na základě jednorázového pokynu klienta se na vrub jeho účtu převádí určená částka v pravidelných intervalech, k danému dni (např. každý den nebo každého patnáctého dne v měsíci) ve prospěch stanovených účtů. Je využíván pro pravidelně se opakující platby. Vzor trvalého příkazu k úhradě nalezneme v příloze č. 3. Automatický převod – jedná se o příkaz, kdy se na základě jednorázového pokynu klienta v systému banky vytváří a provádí platba v určitém okamžiku. Klient si stanoví podmínky uskutečnění platby – např. dosáhne-li stav jeho účtu určité výše, částka převyšující tento limit bude převedena na určitý účet. Není tedy dopředu známa výše převedené částky, ani datum převodu. Současným pramenem vnitrostátní úpravy náležitostí příkazů k zúčtování je částečně vyhláška České národní banky č. 169/2011 Sb., o stanovení pravidel tvorby čísla účtu v platebním styku, která však upravuje pouze číslo účtu v národním formátu (a formátu IBAN-pro příhraniční platební služby). Ostatní náležitosti vyplývají z podmínek jednotlivých poskytovatelů platebních služeb, které navazují na národní formáty dat a jejich náležitostí předávaných do systému CERTIS.
11
Verze 5 Pravidel platebního systému CERTIS je
uveřejněna na stránkách České národní banky a je účinná od 1. února 2015.12 Do roku 2011 byla v platnosti vyhláška ČNB č. 62/2004 Sb., která oproti současně platné vyhlášce 10
Právní regulace bezhotovostního platebního styku. Právní rádce [online]. 2007-2014 [cit.2014-18-09]. Dostupné z : http://www.pravniradce. ihned. cz/cl-22286300-pravni-regulace-bezhotovostnihoplatebniho.styku.pdf 11 SCHLOSSBERGER, Otakar. Platební služby. s.84-85 12 V současné době je připravena verze pravidel platebního systému CERTIS č. 6 s platností od 1. 6. 2015
19
upravovala způsob provádění platebního styku mezi bankami, zúčtování na účtech u bank a technické postupy bank při opravném zúčtování, kde v § 3 této vyhlášky, byly vymezeny příkazy k zúčtování a jejich náležitosti. Povinné náležitosti příkazů k zúčtování: - označení, zda se jedná o příkaz k úhradě nebo příkaz k inkasu - číslo účtu plátce i příjemce platby - částka v české měně - podpis a příp. i otisk razítka dle platného podpisového vzoru, elektronický podpis nebo jiný kód, který identifikuje příkazce. - Konstantní symbol - vyjadřuje charakter platby a je povinný pouze, pokud se jedná o platbu, která je příjmem nebo výdajem státního rozpočtu České republiky - tyto symboly stanoví Ministerstvo financí ČR a jsou zveřejňovány ve Finančním zpravodaji. 13
1.3.2 Šeky Šek je cenný papír, kde výstavce šeku (majitel účtu) vypsáním šeku přikazuje šekovníkovi (své bance), aby k tíži jeho účtu vyplatil určenou částku majiteli šeku (doručiteli, či osobě na šeku uvedené). Použití šeku je ideální v případě, že plátce (výstavce šeku) nezná bankovní spojení příjemce platby, nebo chce provést diskrétní platbu. Záleží na výstavci šeku, zda stanoví, komu bude šek proplacen, a dle toho dělíme šeky: - Šek na jméno - Šek na řad - Šek na majitele.14 Dále šeky dělíme na: - Bankovní šeky - Soukromé šeky – Cestovní šeky - Pokladní šeky - Šeky k zúčtování. V České republice není tradičně podíl používání šeků na placení významný. Používání šeků a jeho náležitosti upravuje zákon č. 191/1950 Sb., směnečný a šekový. Ukázku šeků nalezneme v příloze č. 4.
13 14
KALABIS, Zbyněk. Základy bankovnictví: Bankovní obchody, služby, operace a rizika. s.57. DVOŘÁK Petr. Bankovnictví pro bankéře a klienty. 3.vyd. Praha: LINDE, 2005. s. 357-361. ISBN 80-7201515-X
20
1.3.3 Platební karty Charakteristika platebních karet je různorodá, kdy např. O. Schlossberger ve své publikaci Platební služby vymezuje platební kartu jako platební instrument, jenž umožňuje vzdálený přístup majitele karty k peněžním prostředkům na účtu a kterým uživatel platebních služeb dává platební příkaz poskytovateli, kdy se jedná v podstatě o elektronický platební prostředek a jeden z instrumentů platebních služeb.15 Dle P. Dvořáka, který charakterizuje platební kartu v publikaci Bankovnictví pro bankéře a klienty, se jedná o plastikovou kartu, kterou oprávněný držitel může provádět peněžní transakce, které byly dohodnuté mezi držitelem karty a jejím eminentem, jde o moderní instrument bezhotovostního platebního styku, využívaný zejm. k úhradě spotřebních výdajů a výběrů hotovosti.16 Historie platebních karet se začala psát v roce 1914, kdy byla vydána V USA společností Western Union Telegraph Company první karta určená širší veřejnosti, kdy s ní zákazník měl možnost telefonovat a zasílat telegramy a vždy koncem měsíce přišlo vyúčtování. Jednalo se vlastně o věrnostní úvěrovou kartu, která umožňovala zákazníkům bezhotovostní placení, kdy cílem společnosti bylo udržet si dobré zákazníky a přimět je k častějšímu využívání jejich služeb. Podobné karty začaly v krátké době nabízet i jiné společnosti, zejména obchodní domy a čerpací stanice. Okolo roku 1950 vydává společnost Diners Club platební kartu umožňující platby v síti restaurací a tato karta postupně proniká i do ostatních zemí. Na území tehdejšího Československa došlo k první platbě pomocí karty v říjnu 1968 v pobočce Pražského Čedoku prostřednictvím právě Diners Club Card. Vzhledem k tomu, že karty se na našem území objevovaly pouze v rukou cizinců, byl akceptací těchto karet pověřen právě Čedok. Zvrat na českém trhu nastává v roce 1988, kdy Živnostenská banka vydává k tuzexovému účtu první kartu, ze které však bylo možno vybírat pouze tzv. „bony“, což byly nákupní poukázky, se kterými se platilo ve speciálních obchodech s názvem Tuzex – nabízejících zboží z dovozu. Běžní občané tehdejšího Československa se setkávají s platební kartou až v roce 1989, kdy Česká a Slovenská státní spořitelna testují první
15 16
SCHLOSSBERGER, O. Platební služby. s.135. DVOŘÁK P. Bankovnictví pro bankéře a klienty. s.370-371.
21
bankomaty v Praze a Bratislavě, kdy ale šlo pouze o systém off-line, který umožňoval výběr hotovosti.17 V roce 1991 vzniká Mezibankovní sdružení pro platební karty, mezi jehož zakladatele patřily ČSOB, Komerční banka, Investiční banka, Agrobanka. Toto sdružení se po rozpadu Československa v roce 1993 přejmenovává na Sdružení pro bankovní karty (SBK) a do svého členství přijímá další nově vznikající banky. Mezi hlavní činnosti sdružení patří spolupráce členů při zajištění bezpečnosti platebních karet (omezení rizik a podvodů), vývoj nových technologií, pomoc při tvorbě zákonných norem, přednášková činnost zaměřená na aktuální domácí a mezinárodní vývoj platebních karet, a zpracování statistických údajů o platebních kartách. Dle údajů SBK ke konci r. 2014 vydáno na našem území celkem 11 027 590 ks platebních karet, což svědčí o jejich oblibě u veřejnosti. 18 Časový vývoj platební karty na našem území si můžeme prohlédnout na obrázku níže. Vydavateli platebních karet jsou banky, finanční společnosti, obchodní domy, letecké společnosti atd., z nichž nejvýznamnější jsou: - Master Card, VISA – ( bankovní asociace) - American Express, Diners Club, Japan Credit Buerau (JCB) – (nebankovní asociace) Obrázek 2:Vývoj platební karty na našem území
Zdroj:Platební karta slaví sto let. Sdružení pro bankovní karty, dostupné z: WWW. http://aktuality.cardzone.cz/ TZ_VISA_21-10-2014.pdf ; konstrukce vlastní 17
Jak došly platební karty do českých zemí aneb historie plná zajímavostí. Peníze.cz [online]. 27.4.2007 [cit.2014-15-10]. Dostupné z: http://www.penize.cz/platebni-karty//187777-jak-dosly-platebni-karty-doceskych-zemi-aneb-historie-karet-plna-zajimavosti 18 Sdružení pro platební karty[online] 2014. [cit.2014-26-10] Dostupné z: < http://www. statistiky.cardzone.cz/ download/sbk_statistika_2kv_2014.pdf
22
Platební karty dělíme dle různých hledisek, z nichž nepoužívanější kritéria jsou uvedeny v následující tabulce: Tabulka 1:Druhy platebních karet Druh platební karty
Kritérium způsob zúčtování
debetní
kreditní
charge
elektronická peněženka
typ písma na kartě
s hladkým tiskem
způsob záznamu dat
hybridní
laserová
vydávající asociace
s magnetickým proužkem bankovní
s reliéfním záznamem (embossing) čipové
osoba držitele
osobní
nebankovních subjektů služební
Zdroj: SCHLOSSBERGER, Otakar. Platební služby. s.136; konstrukce vlastní
Debetní karty: vydávají se k běžným účtům, jejich prostřednictvím se čerpají prostředky uložené na bankovním kontě a to výběrem hotovosti z bankomatu nebo platbou u obchodníků. Čerpání prostředků je možné pouze do výše disponibilního zůstatku na účtu (povoleného debetu). Kreditní karty: jsou vydávány k úvěrovým účtům, majitel nemusí mít u dané banky běžný účet, kdy každá transakce touto kartou znamená úvěr od banky. Při vydání této karty banka posuzuje měsíční příjem klienta pro schopnost splatit budoucí úvěr a dle toho nastaví úvěrový limit, který se obnovuje vždy splacením dlužné částky. 19 Charge karty: mají tzv. odloženou splatnost, fungují jako karty kreditní, rozdíl je pouze v tom, že držitel kartou provádí transakce, banka (nebo jiný vydavatel karty) evidují všechny platby na příslušném účtu a teprve po uplynutí doby, která je stanovena ve smlouvě dojde k uhrazení částky držitelem karty. Vydavatel karty v podstatě držitele (svého klienta) úvěruje, kryje jeho potřeby po dobu užívání karty, poté zašle klientovi výpis, kde jsou uvedeny všechny transakce, kdy klient po odsouhlasení stavu uhradí jednorázově celou částku. 20
19 20
KALABIS, Zbyněk. Základy bankovnictví: Bankovní obchody, služby, operace a rizika. s.94 SCHLOSSBERGER, Otakar. Platební služby. s.137
23
Karta embosovaná – identifikační údaje na kartě jsou vyraženy (embosovány) reliéfním písmem. Důvodem je možnost snímání údajů v mechanických snímačích u obchodníků (imprintech – kde se prakticky provádí otisk karty). Karta s hladkým tiskem – opak embosované, kdy náležitosti jsou vylisovány do těla karty. Karta s magnetickým záznamem – data na kartě (identifikační údaje) jsou zaznamenány na magnetickém proužku, což umožňuje provádění elektronických transakcí platební kartou. Čipová karta – záznam dat je na mikročipu, který je umístěn na přední straně karty. Tyto karty přinášejí výhody jak pro držitele, vydávající banku i zpracovatele a to: - vyšší stupeň bezpečnosti; možnost širšího využití, které umožňuje paměť čipu; možnost lokálního ověření identifikačních údajů držitele (např. PIN), na rozdíl od ověření online, které je podstatně dražší. Hybridní karta – je opatřena jak čipem, tak magnetickým proužkem, důvodem je užití karty mimo země EHP, nebo v případě nefunkčnosti čipu, či nevybavenosti obchodníka čtečkou karet pro čipová zařízení. Karta s laserovým záznamem – záznam na kartě je uložen jako na kompaktních discích (CD), kdy tato technologie se prozatím neuchytila. Osobní karta- určena k soukromému užívání jejich držitelů (fyzických osob - občanů). Služební karta (firemní, business) – jsou vydávány pro zaměstnance, členy orgánů a majitele obchodních společností atd., kdy je na lícní straně karty uvedeno jméno držitele karty, na zadní straně karty pak název firmy (společnosti). 21 Co-branded a affinity karty – zvláštní varianty platebních karet, které jsou vydávány ve spolupráci s další institucí, kdy motivem je na straně banky získání nových klientů, u spolupracující instituce možnost získávat provize z plateb provedených těmito kartami, zvýšení věrnosti svých zákazníků a určitý druh reklamy. Pokud je karta vydána ve spolupráci s nepodnikatelskými subjekty (charitativní organizace, profesní sdružení, nadace) - jedná se o „afinity kartu“ v případě, že se jedná o spolupráci s podnikatelským subjektem - jedná se „ Cobranded kartu“. 22
21 22
SCHLOSSBERGER, Otakar. Platební služby. s.139 DVOŘÁK P. Bankovnictví pro bankéře a klienty.s.383-384
24
Platební karta musí splňovat dle normy ISO 3554 stanovenou velikost a musí obsahovat tyto náležitosti: - označení vydavatele karty, jméno držitele platební karty; popř. určitou formu identifikace (podpis držitele, jeho foto), číslo platební karty a tzv. BIN (Bank Identification Number - 4 místné číslo dané banky), platnost platební karty, nosič elektronického záznamu + ochranné prvky (např. hologram). Náležitosti platební karty si můžeme prohlédnout na následujícím obrázku: Obrázek 3:Předni strana platební karty
Zdroj:JUŘÍK, Pavel.Platební karty, velká encyklopedie 1870-2006. 1. Vyd. Praha:Grada,2006.s.99.ISBN 80-247-1381-0
1.3.4 Bankomaty ATM (Automated Teller Machine) – neboli bankomat – je přístroj, který slouží především k vybírání hotovosti pomocí platební karty, jak v domácí, tak v cizí měně, přičemž si lze zvolit požadovanou částku výběru a skladbu nominálu bankovek. Dále si v bankomatu lze zjistit zůstatek účtu, dobít mobilní telefon, změnit PIN kód, vložit hotovost na účet, zadat příkaz k úhradě a provést spoustu jiných peněžních operací. První sériově vyráběný bankomat byl vyroben firmou Diebold a byl uveden do provozu v roce 1968, kdy vzhledem k oblíbenosti snadného výběru hotovosti došlo k rychlému rozšíření bankomatů po celém světě. 25
V současné době je na území ČR instalováno 4 480 bankomatů, ve kterých bylo v roce 2014 provedeno 181 500 665 transakcí v objemu hotovosti 628 075 293 Kč. 23 Každý bankomat je rozdělen na 3 části: Trezor – ve kterém je uschována hotovost. Operátorskou část- zde probíhá řízení bankomatu, je zde počítač a operátorská klávesnice s tiskárnou. Provozní část – zde klient zadává své požadavky, je zde obslužná obrazovka s klávesnicí, zařízení na snímání karty, počítač bankovek se systémem na transport a podání bankovek a tiskárna stvrzenek.
1.4
Elektronický platební styk
„ Za platební produkty elektronického bankovnictví lze považovat veškeré produkty banky, při kterých je kontakt klienta s bankou nebo použití daného produktu prováděno (plně, či z části) elektronickou formou“. 24 Elektronický platební styk se vyvíjel spolu s technikou, kdy vznikaly požadavky na přenos informací, kterých stále přibývalo. První velkou změnou, jak zprostředkovat přenos mezi klientem a bankou byl pomocí prostředku vzdálené komunikace – telefonu. Tento přenos však nebyl zcela bezpečný, jelikož se klient bance identifikoval pouze pomocí jména a dohodnutého hesla. Dalším krokem bylo využití faxu, kde se již pro bezpečnost zadávalo jméno a číslo klienta, kdy však pro nečitelnost údajů vycházejících z faxu musel klient bance zadané požadavky potvrzovat. Velkým zvratem pro přednos dat v bankovnictví byl rozvoj a rošíření používání počítačů a vývoj komunikačních programů, kdy se díky stále dokonalejším softwarům zvyšuje rychlost přenosu dat a snižuje riziko chybovosti. 25
23
Sdružení pro platební karty [online] 2014. [cit.2014-26-10] Dostupné z: http://www. statistiky. cardzone. cz/download/sbk_statistika_2kv_2014.pdf 24 DVOŘÁK P. Bankovnictví pro bankéře a klienty.s.388 25 MÁČE, Miroslav. Platební styk: klasický a elektronický. s.158-159
26
1.4.1 Formy elektronického bankovnictví Dle druhu prostředků použitých k přenosu dat a používaného koncového zařízení členíme elektronické bankovnictví na telefonické, mobilní, homebanking a internetové. 26 Phone banking – (telefonní bankovnictví) – zde probíhá komunikace mezi klientem a bankou prostřednictvím telefonního centra dané banky (call centra). Při každé komunikaci s bankou se musí klient identifikovat pomocí dohodnutého způsobu (např. rodným číslem, PIN) se sdělením svého hesla. V případě úspěšného projití touto „kontrolou“ pak bance zadává své požadavky – zjištění zůstatku na účtech, zadávání příkazů aj. Z hlediska nákladovosti je telefonní bankovnictví službou poplatkově nejdražší. Internet banking – je jedním z nejmodernějších a nejrozšířenějších způsobů, kdy klient obsluhuje svůj bankovní účet. Pro využití této služby stačí být napojen on-line na internet, přihlásit se do systému banky na dané webové adrese, po zadání všech hesel a elektronického klíče, zadávat bance svoje požadavky. Klient si může u většiny bank vybrat způsob zabezpečení, kdy se většinou používá kombinace přístupového hesla a klíče, dražší a více bezpečnou variantou je přístup pomocí certifikátu nahraného na externím médiu, které se připojí na počítač pouze na dobu provedení požadované transakce. Každý pokyn bance musí být klientem samostatně potvrzen – autorizován. Prostřednictvím internetového bankovnictví lze zadávat bance veškeré pokyny - provedení jednorázových i trvalých plateb, získávání informací o účtu klienta, zřizování i rušení účtů, nastavení limitů platební karty, internetových transakcí atd. Lze se do něho přihlásit z různých IP adres. Home banking – zde klient zadává veškeré pokyny bance prostřednictvím propojení svého osobního počítače, který je vybaven speciálním softwarem banky, přes modem s počítačem banky. Výhodou homebankingu je, že jej lze provázat s účetním programem klienta, nevýhoda spočívá v tom, že je často napojen na konkrétní počítač a pouze z něho je možno zadávat pokyny. GSM banking (mobilní bankovnictví) – komunikace prostřednictvím klientova mobilního telefonu s technologií SIM Toolkit, kdy klient má na své SIM kartě nainstalovánu bankovní
26
POLOUČEK, Stanislav a kol. Bankovnictví . 2.vyd. Praha C.H.Beck, 2013. s. 110. ISBN 978-80-7400-491-9
27
aplikaci se speciálním PIN, zadává bance pokyny pomocí SMS zpráv, které jsou po celou dobu přenosu bance zašifrovány. 27 Po zavedení moderních komunikačních zařízení, jako jsou „chytré“ telefony, tablety apod. začaly banky nabízet aplikace mobilního bankovnictví, založené na připojení telefonu k internetu, kdy klientovi umožní zadání požadavku bance dotykový displej tohoto zařízení – tato služba se nazývá smartbanking. 28
1.4.2
Elektronické peníze
V současnosti dochází ke stále širšímu využívání nejmodernějších forem elektronického bankovnictví - elektronických peněz. Elektronická peněženka – zákon tento výraz nezná - neexistuje, ale lze najít v § 4 zák. č. 284/2009 Sb., o platebním styku vymezení pojmu „Elektronické peníze“, kde je uvedeno, že se jedná o peněžní hodnotu, která představuje pohledávku vůči tomu, kdo ji vydal, je uchovávána elektronicky, je vydávána proti přijetí peněžních prostředků za účelem provádění platebních transakcí a je přijímána jinými osobami, než tím, kdo ji vydal. V dříve platném zákoně č. 124/2002 Sb., o převodech peněžních prostředků, elektronických platebních prostředcích a platebních systémech (který byl s vydáním zák. č. 284/2009 Sb. zrušen) bylo v § 15 vymezeno ustanovení pojmu „Elektronický platební prostředek a elektronické peníze“, kde bylo v § 15 odst. 2) uvedeno, že elektronickým peněžním prostředkem je platební prostředek, který se uchovává v elektronické podobě. Nicméně v odborné literatuře se s pojmem „Elektronická peněženka“ běžně setkáváme, kde např. v publikaci Platební karty, ilustrovaná historie placení od Pavla Juříka je popsán princip elektronické peněženky, který spočívá v tom, že se do čipu karty (či jiného čipu) zaznamená určitá peněžní částka, která se placením snižuje a tzv. dobíjením zvyšuje. Jedná se o produkt, který je využíván při placení malých částek, kdy by platba prostřednictvím karty byla neekonomická. Zaplacená částka se zaznamená do platebního, či samoobslužného terminálu a
27 28
KALABIS, Zbyněk. Základy bankovnictví: Bankovní obchody, služby, operace a rizika. s. 63-64 POLOUČEK, Stanislav a kol. Bankovnictví . s. 110
28
z důvodu snížení provozních nákladů, nejsou tyto transakce zasílány k zúčtování jednotlivě, ale najednou v souhrnné částce. 29 Poprvé se elektronická peněženka objevila na trhu v r. 1992 a její výhodou je rychlost, s níž je tato peněženka schopna zaplatit (zhruba 200 milisekund) a bezpečnost placení, kdy při ztrátě, nebo jinému zneužití nemá nepovolaná osoba možnost manipulace s dalšími finančními prostředky majitele. Tento systém využívají hlavně dopravci, kteří umožňují tímto způsobem cestujícím hradit jízdné. 30 Pro velkou oblibu těchto předplacených karet, kdy prostřednictvím nich lze bezpečně a anonymně platit jak v obchodech, tak na internetu se jejich vydávání chopily i další společnosti jako Czech News Center - vydavatel deníku Blesk ve spolupráci s karetní společností Master Card a firmou Moped (dceřiná společnost České spořitelny), který uvedl svoji „Blesk peněženku“ na trh 16. října 2014. Tuto peněženku lze dobíjet nejen prostřednictvím bankovního převodu, ale i na všude dostupných terminálech Sazky. Obrázek 4: Ukázka bezkontaktní platební karty – Blesk peněženka
Zdroj:Blesk peněženka je anonymní platební karta MasterCard, u které nemusíte mít účet,Cnews.cz [online] 5.10.2014. Dostupné z : http://www.cnews.cz/ blesk-penezenka-je-anonymni- platebni-karta-mastercardu-ktere-nemusite-mit-ucet
Dalším projektem, který se rozjíždí v závěru roku 2014 je společná karta ČSOB s řetězcem družstevních prodejen COOP s názvem „COOP Dobrá karta“. Obě předplacené karty, které nově vstupují na trh, používají k platbám na internetu tzv. 3D Secure zabezpečení, kdy každá
29 30
JUŘÍK P. Platební karty, ilustrovaná historie placení.1. vyd.Praha:Libri,2012.s.148.ISBN 978-80-7277-498-2. Elektronická peněženka zaplatí za 200 milisekund. Peníze.cz [online]. 16.7.2009 [cit.2014-20-10]. Dostupné z: http://www.penize.cz/internetbanking/56435-elektronicka-penezenka-zaplati-za-200- milisekund
29
internetová platba se potvrzuje unikátním kódem, který je doručen v SMS k zpětnému potvrzení majitelem.31 Dále společnost VISA Europe rozjíždí spuštění projektu Evropské digitální peněženky „V.me by Visa“, který umožňuje bankám a finančním institucím, aby tuto službu podporovanou Visou opatřily vlastním jménem a značkou. Do V.me - digitální peněženky si zákazník uloží jednu nebo více virtuálních platebních karet napojených na svůj účet v bance a s nimi poté provádí digitální platby na internetu, ale také v kamenných obchodech, není zde potřeba žádný platební terminál, kdy platby se provádějí pomocí internetového prohlížeče, či prostřednictvím mobilní aplikace. Ve 3. čtvrtletí 2014 bylo registrováno v Evropě 20 000 obchodníků, kteří již V.me by Visa přijímají. Do rozvoje digitálních plateb v Evropě společnost Visa Europe hodlá investovat 200 miliónů eur (zhruba 5,5 miliardy korun). Pro svoji rychlost a bezpečnost digitální peněženky hrají v budoucnosti plateb význačnou roli.
1.5
32
Právní úprava bezhotovostního platebního styku
Oblast platebního styku a platebních služeb je upravena právními předpisy nejen České republiky, ale také normami evropského práva. Na úrovni právního řádu České republiky se jedná o zákony a vyhlášky, v rámci práva Evropské unie to jsou nařízení a směrnice, popřípadě doporučení. ►Hlavním pramenem národního práva je zákon č. 284/2009 Sb., o platebním styku, ve znění pozdějších předpisů (dále ZPS) který vznikl v souladu se směrnicí Evropského parlamentu a Rady 2007/64/ES, o platebních službách na vnitřním trhu a který vymezuje vybrané pojmy z oblasti platebního styku a upravuje základní právní vztahy mezi tzv. poskytovateli platebních služeb a jejich uživateli. - část veřejnoprávní ZPS - stanoví podmínky pro získání povolení podnikat jako poskytovatel platebních služeb, pokud nebylo povolení získáno jiným způsobem např. u bank dle zákona
31
Blesk láká na peněženku, platební kartu chytá i COOP. Aktuálně.cz [online]. 15.10.2014 [cit.2014-28-10]. Dostupné z : http://www.zpravy.aktualne.cz/finance/nakupovani/s-bleskem-muzete-nove-platit-vlastni-kartuchysta-i-coop/r~47fd27f4546411e4b4ab002590604f2e 32 Digitální peněženka V.me v ČR v roce 2015. Bankovni poplatky. com [online]. 17.7.2014 [cit.2014-28-10]. Dostupné z : http://www.bankovni poplatky.com/difgitalni-penezenka-v-me-v-cr-v-roce-2015-24099
30
č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů (definuje pojem banka; činnosti, jež banka smí na základě licence vykonávat; platební styk a zúčtování; vydávání a správu platebních prostředků; otevírání akreditivů; řeší problematiku elektronických peněz), nebo dle zák. č. 87/1995 Sb., o spořitelnách a úvěrních družstvech, ve znění pozdějších předpisů (který upravuje možnost spořitelnám a úvěrním družstvům poskytovat platební styk a přijímat vklady). -část soukromoprávní ZPS - upravuje podmínky při poskytování platebních služeb se zaměřením na práva a povinnosti poskytovatelů vůči jejich uživatelům. Do ZPS byla implementována Směrnice Evropského parlamentu a Rady č. 2009/110/ES, o přístupu k činnosti institucí elektronických peněz, o jejím výkonu a o obezřetném dohledu nad touto činností a Směrnice Evropského parlamentu a Rady č. 98/26/ES, o neodvolatelnosti zúčtování v platebních systémech a v systémech vypořádání obchodů s cennými papíry ve znění směrnice Evropského parlamentu a Rady č. 2009/44/ES. ►Dohled a dozor nad poskytováním platebních služeb a zajišťování jednotného platebního styku a zúčtování v ČR provádí Česká národní banka v souladu se zákonem č. 6/1993 Sb., o České národní bance, ve znění pozdějších přepisů a změn.33 ►Zákon č. 89/2012 Sb., občanský zákoník upravuje oblast cenných papírů (§514-544), úroků (§1802-1807), jiný než platební účet (§ 2670-2675), úvěrů (§2395-2400), vkladovou knížku (§2676-2679), jednorázový vklad (§2680), vkladní list (§2681), akreditivy (§2682-2693) a inkaso (§2694-2700). ►K ochraně uživatelů platebních služeb na základě aplikace mimosoudního vyrovnání sporů slouží zákon č. 229/2002 Sb., o finančním arbitrovi. Dále jsou spory řešeny dle zákona č. 99/1993 Sb., občanského soudního řádu. ►Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (tzv. zákon o praní špinavých peněz) určuje finančním institucím oznamovací povinnost podezřelých obchodů. ►Dalším je zákon č. 191/1950 Sb., zákon směnečný a šekový. ►Zákon, jehož cílem je zabránit daňovým únikům je z. č. 254/2004 Sb., zákon o omezení
33
SCHLOSSBERGER O. Platební služby. s. 21-23.
31
plateb v hotovosti, kde je v § 4 tohoto zákona uvedena povinnost provést platbu převyšující 270 tis. Kč bezhotovostním převodem. ►Úplnou novinkou je zákon č. 181/2014 Sb., o kybernetické bezpečnosti ze dne 23. 7. 2014, který nabyl účinnosti 1. 1. 2015 a který upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti. K většině zákonů se vydávají vyhlášky – podzákonné prováděcí normy. Zásady vedení účtů klientů u bank a provádění platebního styku a zúčtování na těchto účtech je dáno ve Všeobecných obchodních podmínkách, kdy jejich doporučenou formu upravuje vyhláška č. 169/2011 Sb., (upravující pravidla tvorby čísla účtu v souladu s mezinárodní standardizací – IBAN), vyhláška č. 140/2011 Sb., o platebních systémech s neodvolatelností zúčtování (upravující obsah, formu, lhůty a způsob poskytování informací provozovatelem platebního systému ČNB), vyhláška č. 141/2011 Sb., o výkonu činnosti platebních institucí, institucí elektronických peněz, poskytovatelů platebních služeb malého rozsahu a vydavatelů elektronických peněz malého rozsahu a vyhláška č. 142/2011 Sb., o předkládání informací platebními institucemi.
1.6
Shrnutí vývoje bezhotovostního platebního styku
Počátky platebního styku jsou datovány do dávné historie a souvisejí s postupným vývojem peněz, které usnadňovaly obchodní transakce, přispěly k rozvoji zemědělství, řemesel a později i průmyslu. Lidé se vždy snažili najít co nejpohodlnější, nejrychlejší, nejbezpečnější a pro ně nejlevnější způsob, jak tyto peněžní transakce provádět. Z tohoto důvodu začalo docházet k vytlačování hotovostních plateb a platby postupně přecházejí na bezhotovostní formy. Zpočátku se jednalo o zavedení cestovních šeků, kreditních a debetních karet. S rozvojem a rozšířením používání počítačů, s rychlým vývojem komunikačních programů, kdy se díky stále dokonalejším softwarům zvyšuje rychlost přenosu dat, a snižuje riziko chybovosti, dochází k stále většímu přechodu na elektronické formy platebního styku. Je jen otázkou času, kdy na čipové kartě, či čipu nahraném např. v mobilním telefonu, či na jiném nosiči, který nahradí více karet, budou nahrány osobní doklady, které zajistí veškerou komunikaci na úřadech, bude na něm nahrána zdravotní dokumentace uživatele a bude nám umožňovat vstup do různých zařízení. A není nemyslitelné, že takovéto čipy budou v budoucnu implantovány člověku při narození a budou jej provázet celým jeho životem. 32
2 Rizika zneužití neoprávněnými osobami při bezhotovostních platbách Současně s výrobou a užíváním platebních prostředků se vždy našla část lidí, která se snažila získat finanční prostředky nekalým způsobem. Nejdříve docházelo k napodobování mincí a bankovek - „padělatelství“, které bylo vždy považováno za těžký zločin a tvrdě se trestalo, např. v některých státech deportací, usekáváním rukou, hozením za živa do vroucí vody, oleje, nebo popravou. Z naší historie je známo trestání smýkáním, škrcením, trestem ohněm a zabavením majetku. Již za Rakouska-Uherska byl tehdejší národní bankou zaveden systém řazení padělků do typů a stupně nebezpečnosti. Tento systém převzala a dodnes používá Česká národní banka. Vzhledem k tomu, že se padělatelství postupem času začalo stávat mezinárodním problémem, byla v roce 1929 v Ženevě uzavřena Úmluva o potírání penězokazectví, přijatá v ČSR v roce 1931 a vydaná ve sbírce zákonů č. 15/1932, kdy tato úmluva je platná dodnes. S postupným vývojem ochranných prvků platebních prostředků a zařízení dochází i k zdokonalování způsobů, jak neoprávněně, podvodně získat finanční prostředky.34
2.1
Všeobecný popis jednotlivých forem podvodů
Vlivem technologického vývoje i znalostí podvodníků dochází k rychlému vývoji v oblasti techniky získávání citlivých údajů a jejich následného zneužívání, kdy lze hovořit o „ útoku na platební prostředek“ (např. platební kartu) a „útoku na lidskou důvěřivost“. Tyto útoky jsou prováděny za účelem získání finančních prostředků a to v podobě - zneužití účtů klientů, zneužití platebních karet a nezákonného použití internetového a telefonního bankovnictví. ►Libanonská smyčka – v současné době se již tak často nevyskytuje – je založena na principu, kdy platební karta se nedostane do bankomatu, ale ani nazpět. Podvodník, který je v blízkém dosahu nabídne postiženému pomoc, s podmínkou zadání PIN, kdy na bankomatu je podvodníkem nainstalováno speciální zařízení a poté, co se operace nezdaří, postižený 34
plk.Mgr. BROŽ, Jiří, pplk. JUDr. HRADECKÝ, Michal. Platební prostředky, jejich ochrana a padělání. Praha Tiskárna MV, 2008. s.11-13. ISBN 80-7312-055-0.
33
odchází od bankomatu, podvodník vytáhne kartu a než ji stihne postižený zablokovat karta je podvodníkem zneužita. ►Skrytá kamera – pomocí malé skryté kamery podvodník zjišťuje PIN, často je využívána společně s Libanonskou smyčkou či skimmingem. Skrytou kamerou, umístěnou např. v mobilním telefonu, může dojít (např. při platbě u obchodníka, kdy podvodník stojí poblíž ve frontě) k nahrání zneužitelných údajů na platební kartě – čísla platební karty, doby platnosti, CVC kódu (poslední tři číslice na podpisovém proužku karty) a podpisu. ►Dotekové senzory – snaha získat PIN pomocí nainstalovaných senzorů na klávesnici bankomatu, nebo na vstupní dveře do samoobslužné zóny. Může být kombinován s přepadením - nebo jiným způsobem získáním karty postiženého. ►Padělky karet – Po zjištění citlivých dat dochází k výrobě padělku platební karty, která je pak zneužívána. Na výrobě padělků se podílejí kriminální skupiny z celého světa, zařízení na výrobu padělků je skladné, ve velikosti malého kufříku a rychlost výroby je několik minut od získání dat. ►Zneužití pomocí internetu – k zneužití platební karty a bankovního účtu může dojít i prostřednictvím internetu. ►Skimming – elektronické zkopírování originálních údajů z magnetického proužku platební karty bez vědomí jejího držitele a následné nahrání na připravený nosič dat – padělek platební karty. ►Phishing - zneužití pomocí emailové pošty, kdy postižený, v domnění, že obdržel e-mail od banky s žádostí o vyplnění identifikačních údajů, vše vyplní a během několika minut dochází k výrobě padělku platební karty a zneužití účtu. ►Pharming – první podoba pharmingu spočívá v tom, že je podvodníky napadán systém doménových jmen DNS ( Domenian Name System) a systém IP adres (identifikují síťové rozhraní v počítačové síti - internetu). Klient zadá ve svém počítači požadovanou internetovou adresu, kdy však dojde k přesměrování na adresu podvodníků. Podvodníci změní DNS záznam klientovy banky a spojení s bankou je přesměrováno na jiný kanál, jehož www stránky podvodníci připraví tak, aby vypadaly jako stránky požadované banky. Poté, co se klient přihlásí ke komunikaci s bankou, dochází ke získání citlivých údajů a odčerpání finančních prostředků z účtu klienta. V druhém případě nejsou napadány IP adresy a DNS servery, ale konkrétní počítače klientů. Podvodník se snaží o zapsání adresy jeho www stránky s doménou bankovnictví do tzv. „host souboru“, který pracuje v určeném operačním 34
systému (podobně jako DNS), pokud se mu to podaří, klientovi se při přihlašování do internetového bankovnictví zobrazí stránka podvodníků a klientovi jsou po zadání citlivých údajů odčerpány finanční prostředky z účtu. Pharming se může dostat do počítače stažením neznámých aplikací, otevřením přílohy mailu, kdy nejznámější je tzv. Trojský kůň. ►Spoofing – spočívá v tom, že se určitý uzel sítě vydává za někoho jiného, pronikne do cizí sítě a zneužije data. ►Prostá krádež – je nejjednodušším způsobem zneužití platební karty, kdy do doby než postižený nahlásí krádež a karta je blokována, stihne podvodník v případě, že zná PIN – vybrat finanční prostředky, nebo kartu zneužít jiným způsobem. ►Trashing - název odvozen od ang. „trash“ (koš) jde v podstatě o „vybírání odpadků“, jak v papírové podobě, tak elektronických, kdy jsou vyhazována do „košů“ někdy i přístupové hesla, kódy atd. 35
2.2
Podvody zaznamenané na našem území
Počátkem ledna 2015 uveřejnila ČSOB na svých stránkách tiskovou zprávu, kde je uvedeno, že dle statistik útočí hackeři nejčastěji na účty klientů prostřednictvím podvodných e-mailů a škodlivých virů, kdy 78 % všech evidovaných útoků představují phishing a malware, zbytek tvoří útoky, které využívají sociálních sítí, zejména Facebooku. Metody phishingových a malwarových úroků jsou stále sofistikovanější a nebezpečnější, kdy jen v loňském roce byly v 95 % případů příčinou neoprávněného odčerpání peněz z účtů klientů prostřednictvím kanálů elektronického bankovnictví.36 V roce 2012 dorazila do Česka nová forma podvodného jednání na bankomatech - umístění tzv. cash trappingu – pastí na hotovost, kdy je do bankomatu nainstalováno zařízení, které zadrží vybírané peníze, kdy má poškozený dojem, že transakce neproběhla – od bankomatu odejde a pachatelé následně zadrženou částku vyberou. Zároveň dochází i k výraznému 35
KLUFA, František, KOZLOVÁ, Michaela, SCHOLZ, Petr. Podvody v oblasti bezhotovostních plateb v ČR (studie)[online].2009.Dostupné z: http:// www.prevencrepodvoducz/users/files/projekt-o-podvodech/A5_ bezhotovostni_podvody.pdf 36 Obětí phishingu a škodlivých virů přibývá. ČSOB [online] 2015. [cit.2015-15-01] Dostupné z: http://www. csob.cz/cz/Csob/Servis-pro-meidia/Tiskov-zprávy/Stranky/TZ150115.aspx
35
rozvoji technologií skimmovacího zařízení, které je umístěno na bankomaty - kdy jsou údaje z magnetického proužku platební karty zkopírovány a následně je proveden nelegální výběr falešnou kartou.37
2.2.1 Útoky na bankomaty - skimming Skimmovací (kopírovací) zařízení nejčastěji pachatelé instalují na bankomaty přímo na štěrbinu pro vkládání platební karty, kdy toto zařízení je ve formě různých nástavců napodobujících originál nebo jako panel, který bývá montován na originální součást bankomatu. K odpozorování PIN kódu umístí na horní panel bankomatu minikameru (velikost řádově v mm), nebo použijí falešnou klávesnici, která je samostatně nebo ve formě celého panelu montována na originální klávesnici či panel bankomatu. Kopírovací zařízení a krycí lišty kopírovacích prostředků jsou většinou provedeny v barvě a kovu, který je shodný s materiálem, ze kterého je bankomat vyroben. Při běžném pohledu jsou tato zařízení od originálu téměř k nerozeznání. Po nadečtení dat z platební karty vložené do bankomatu a získání PIN kódu jsou údaje předány k výrobě padělku platební karty, kdy následně dochází k nelegálním výběrům peněžních prostředků z účtů. Tyto výběry jsou většinou prováděny v mimoevropských zemích (USA, Kolumbie, Mexiko, Peru, Thajvan, Indonésie, Equador, Indie, Dominikánská republika…), na území Evropy proběhly výběry na Ukrajině a v Bulharsku. Ke zkopírování údajů z platebních karet nejčastěji dochází u bankomatů, ale byly zaznamenány i případy u obchodníků, kde nepoctivý pracovník obchodní společnosti zkopíroval údaje z magnetického proužku platební karty před vrácením zákazníkovi a následně je předal k výrobě padělku platební karty. K tomuto jednání dochází nejčastěji v barech, restauracích, hotelech a někdy i na čerpacích stanicích. Tato trestná činnost je velice dobře mezinárodně organizována s poměrně sofistikovanou strukturou zajišťující relativně bezproblémové a bezpečné fungování celé skupiny. Mezi 37
Dávejte si pozor na platební kartu! FinExpert.cz [online] 23.1.2013 [cit.2014-08-12] Dostupné z: http://www.finexpert.e15.cz/davejte-si-pozor-na-platební-kartu
36
pachateli převažují skupiny bulharských a rumunských občanů. Ti do České republiky přijíždějí výhradně za účelem páchání trestné činnosti a po spáchání skutku odjíždějí zpět do zahraničí. V menší míře se objevují mezi pachateli i občané Ukrajiny, Polské republiky a Česka. Obrázek 5:Bankomat se skimmovacím zařízením a falešnou klávesnicí
Zdroj:Policie ČR, Skimming 2013[online] 2015. [cit.2015-08-01] Dostupné z: http://www.policie.cz/ clanek/ skimmming-2011.aspx
V roce 2014 policisté zaznamenali 34 případů skimmingu38 , což je značný pokles oproti roku 2013, v němž bylo nahlášeno formou trestního oznámení od poškozených bankovních subjektů 184 případů. Nejčastěji pachatelé umísťovali skimmovací zařízení ve velkých městech kdy bylo zjištěno v roce 2013 v Praze 59 případů, Plzeň - 16 případů, České Budějovice - 34 případů, Brno - 44 případů, ve zbylých 31 případech bylo zařízení umístěno v dalších větších městech. V roce 2014 byly nejčastěji hlášeny případy z Brna, Prahy, ojediněle z Mostu, Karlových Varů a Ostravy – přesné počty prozatím nebyly zveřejněny.
38
Skimming 2014, Policie ČR [online] 2015. [cit.2015-09-04] Dostupné z: http://www.policie.cz/clanek/ skimming-2013.aspx
37
Graf 1: Přehled skimmingu na našem území v období let 2005-2014
Zdroj:Policie ČR, Skimming 2014[online] 2015. [cit.2015-09-04] Dostupné z : http://www.policie.cz/clanek/ skimming-2014.aspx; konstrukce vlastní
Do konce roku 2013 se podařilo objasnit 52 z celkového počtu 184 případů, kdy bylo zadrženo 19 pachatelů této trestné činnosti.39 Zbylé případy byly došetřovány v roce 2014, v té době byl na území ČR pomyslný klid od skimmingu až do počátku prosince, kdy kriminalisté z oddělení podvodů zaznamenali na území Prahy několik případů umístění skimmovacího zařízení na bankomaty, kde umístění těchto podezřelých zařízení včas nahlásili všímaví klienti bank. Po 14 dnech se podařilo kriminalistům dopadnout trojici ukrajinsky hovořícíh mužů a zajistit u nich v autě část skimmovacího zařízení, falešné platební karty na které jsou následně nahrávána ukradená data a při domovní prohlídce byla zajištěna 3D tiskárna, na které zadržení pachatelé skimmovací zařízení vyráběli, což je vůbec poprvé na našem území, kdy skimmeři použili k výrobě falešných komponentů takto sofistikované zařízení a tento případ bude držet navěky v české kriminalistice prim. Trojice mužů byla obviněna z trestných činů neoprávněného opatření, padělání a pozměnění platebního prostředku a podvodu, kdy jim hrozí odnětí svobody až na osm let. 40
39
40
Skimming 2013, Policie ČR [online] 2015. [cit.2015-08-01] Dostupné z: http://www.policie.cz/clanek/ skimming-2011.aspx K podvodu použili skimmeři z Ukrajiny 3D tiskárnu, Policejní deník [online] 07.01.2015. [cit.2015-15-01] Dostupné z: http://www. policie.cz/clanek/k-podvodu-skimmeri-pouzili-3d-tiskarnu.aspx
38
2.2.2 Útoky na bankomaty - prostřednictvím malware Další způsob jak získat peníze z bankomatu bez použití čtecího (skimmovacího) zařízení a kreditních karet vynalezli počítačoví piráti a to formou instalování škodlivého softwaru malware, který umožňuje výběry z bankomatu bez použití karty. Zaznamenat jsme mohli již několik takových útoků, kdy první větší proběhl v září 2013 a jednalo se o instalaci malware zvaného Ploutus. Tento malware se poprvé objevil v Mexiku a jeho dřívější ranou verzi bylo nutno ovládat přímo v bankomatu pomocí připojené klávesnice a z tohoto důvodu si útočníci vybírali samostatně stojící bankomaty. V poslední verzi však malware doznal značných změn a nově jej lze ovládat na dálku prostřednictvím SMS. V této verzi útočníci otevřou bankomat a připojí k němu mobilní telefon, který následně funguje jako ovladač. Přes textové zprávy pak posílají příkazy k výběru hotovosti. Když telefon rozpozná zprávu v určitém formátu, zařízení tuto zprávu převede do síťového paketu a do infikovaného bankomatu ji předá přes USB kabel. Tento nový způsob je mnohem diskrétnější, útočníci nemusí při výběru peněz zadávat číselný kód na klávesnici bankomatu, u automatu stráví méně času a je méně snadné je odhalit. Nyní jen do bankomatu zadají přes telefon příkaz a pro peníze někoho pošlou.41 Další ATM malware, který se objevil na podzim 2014, se jmenuje Tyupkin a byl dosud zaznamenán hlavně v bankomatech v Latinské Americe, Evropě a Asii a útočníci jeho prostřednictvím získali miliony dolarů. Zločinci operují ve dvou fázích, nejprve získají fyzický přístup k bankomatu, do něhož vloží CD se škodlivým programem, kdy poté co se systém restartuje, získávají nad bankomatem kontrolu.42
Po úspěšném napadení tento
malware běží na pozadí a nijak se neprojevuje, dokud není stisknuta správná kombinace čísel. Tu, aby bylo podvod problematické odhalit, je možno zadat pouze v určitý čas během nedělní a pondělní noci, přičemž k dispozici jsou 4 kódy, které umožňují smazat malware, prodloužit 41
Útočníci používají SMS k výběru z infikovaných bankomatů , Computerworld.cz [online] 27.03.2014. [cit.2015-15-01] Dostupné z: http://www.computerworld.cz/securityworld//utocnici-pouzivaji-sms-k-vyberuz-infikovanych-bankomatu-50944 42 Hackeři vyvinuli program pro vykrádání bankomatů bez karet, Deník.cz [online] 09.10.2014. [cit.2015-08-01] Dostupné z: http://www.denik.cz/ekonomicka/hackeri-vyvinuli-program-pro-vykradani-bankomatu-bezkaret-20141009.html
39
časové okno, nebo zobrazit/skrýt konzoli, z které je možno zadat příkaz k výběru peněz z bankomatu. Po úspěšném vyvolání konzole musí být dále zadán 8-místný klíč, který je založený na principu challenge-response , kdy je na obrazovce bankomatu zobrazena výzva a program očekává odpověď, pokud je zadán správný klíč, ukáže se, jaké množství peněz se nachází v každé kazetě s hotovostí a hacker se rozhodne, kterou z kazet vyprázdní. Poté přístroj vydá ze zvolené kazety 40 bankovek. Napadány jsou bankomaty, které nejsou dostatečně fyzicky chráněny a monitorovány. V okamžiku, kdy se útočník dostane k vnitřnostem bankomatu, má už volnou cestu k plnému ovládání bankomatu. Tyto útoky na bankomaty, ať již ve formě čteček nebo škodlivého softwaru, které se v posledních letech množí, se postupně posunují k útokům přímo na finanční instituce, a to buď napadením účtů klientů či přímo útoky na samotné banky.43
2.2.3 Útoky na účty klientů internetového bankovnictví – kyberkriminalita Kybernetické hrozby jsou stále aktuálnější, jelikož čtyřicet procent světové populace je online a i Evropa se stává stále závislejší na Internetu. Odhaduje se, že v roce 2017 bude online až 50 % obyvatel světa. Lidé Internet už nepoužívají jen jako zdroj zábavy, ale spravují pomocí něho i své finanční záležitosti, což je hnacím motorem pro majetkovou trestnou činnost, kdy s rostoucím počtem obyvatel, kteří mají přístup na Internet, roste i počet pachatelů a obětí internetové kriminality. Mezi nejčastější delikty, které vyšetřují policejní odborníci na kyberkriminalitu patří podvodná jednání, kdy se v roce 2014 prudce zvýšil počet obětí phishingu - útočníci kradou identity a získávají citlivá data prostřednictvím podvodných e-mailů a prudce narostl i počet hackerských útoků na konta klientů bank prostřednictvím malware – škodlivých programů, jež vnikly do počítačů a mobilů a poškodily jejich systém. Vyskytl se též prudký nárůst případů útoků prostřednictvím sociálních sítí – zejména Facebooku44
43
Útoky na bankomaty neustávají, škoda se už pohybuje v miliónech dolarů, Clever and smart.cz [online] 10.10.2014. [cit.2015-08-01] Dostupné z: http://www.cleverandsmart.cz/utoky-na-bankomaty-neustavajiskoda-se-uz-pohybuje-v-milionech-dolaru./comment-page-1/
40
►Útoky na účty prostřednictvím Facebooku zaznamenali policisté v loňském roce na různých místech republiky, kdy v první polovině roku 2014 se jednalo zejména o případy, kde se neznámý pachatelé snažili na nic netušících lidech vylákat peníze tím způsobem, že uživatel, který má profil na Facebooku, dostal v rámci chatu nebo mailu zprávu od svého existujícího „facebookového přítele“. Skutečný přítel nic netušil, ten pouze kliknul na sociální síť na nějaký bizarní odkaz, např. že zemřel Karel Gott, odkaz se přesměroval na stránky a po jejichž otevření se profil přítele infikoval virem hackera a ten se pak vydával za přítele uživatele, kdy žádal o drobnou finanční výpomoc, kterou je nutné zaplatit platební kartou. Podvodník následně s uživatelem touto cestou komunikuje, kdy ho přesvědčuje, že jde o pouhých padesát korun na doplnění kreditu, sázky nebo jinou službu, kterou on sám kvůli blokaci platební karty nemůže zaplatit. Poté, co se dohodnou, zasílá podvodník oběti odkaz, kterým se webová stránka přesměruje na podvodné stránky, jež ale vypadají velmi reálně a často se jedná o zkopírované stránky existujících společností. Uživatel pak na těchto stránkách vyplní své údaje o platební kartě způsobilé k platbám v internetové síti. Poté uživatel zjišťuje, že nedošlo k platbě dohodnuté nepatrné částky, ale platební údaje jsou zneužity ze strany pachatelů k odčerpání jiných větších finančních obnosů. 45 Další finta, pomocí níž podvodníci zneužili cizí bankovní účty a to prostřednictvím krádeže identity na Facebooku se na našem území objevila na přelomu roku 2014/2015 a to především na území Liberecka a Jablonecka, ale postupně se začala šířit dál. Podvodníci (vydávající se za kamarády) osloví prostřednictvím chatu nebo mailu uživatele Facebooku s historkou, že něco doma řeší s maminkou a dohadují se, jak se jmenovala za svobodna maminka uživatele, nebo se ptají jaký je - oblíbený herec uživatele, oblíbený film, kdo byla třídní učitelka, jaká je neoblíbenější destinace apod. Ten nic netušíc „ kamarádovi“ odpoví a neuvědomuje si, že tím vlastně vyzrazuje odpověď na kontrolní otázku, kterou je potřeba zodpovědět při zapomenutí hesla k přihlášení na e-mail, a většina lidí si ji zvolí jako možnost při jeho zakládání. Následně tak podvedený může přijít nejen o přístup ke svému profilu, k e-mailům, ale i k bankovním účtům - jelikož spousta lidí si stále nechává na mailu uložená přístupová hesla
44
45
Kybernetické hrozby jsou stále akutálnější, Policie. Cz[online] 19.9.2014.[ct.2015-20-01] Dostupené z: http://www.police.cz/clanek/kyberneticke-hrozby-jsou-stále-aktualnejsi-aspx Chce po vás přítel peníze? POZOR!, Policie.cz [online] 30.5.2014. [cit.2015-20-01] Dostupné z: http://www.policie.cz/clanek/web-informacni-servis-zpravodajstvi-chce-po-vas-pritel-penize-pozor.aspx
41
na bankovní účty. Po vykradení účtů podvodníci jmény okradených dál oslovují jejich přátele s těmito otázkami.46 ►Útoky na účty klientů prostřednictvím e-mailů – tyto útoky na klienty největších českých bank probíhaly prakticky po celý rok 2014, kdy útočníci vsadili na šíření bankovního malwaru především prostřednictvím e-mailů a dále pak na směrování klientů na falešné platební brány. Rok 2014 můžeme považovat v ČR za přelomový, neboť v jeho druhé polovině bylo rozesláno tolik phishingových e-mailů, jako nikdy předtím a hlavně tyto emaily byly oproti minulým letům psány výbornou českou gramatikou, byly srozumitelné a působily důvěryhodně a oběti tak nepojali žádné podezření. Zaznamenat jsme mohli enormní množství útoků cílených na české uživatele, kdy se útočníci vydávali za zaměstnance bank, nebo jiných institucí, jako např. České pošty, exekutorského úřadu, O2 a PPL. Mezi nejvýznamnější vlny útoků v loňském roce patřily ty, kde se útočníci vydávali za zaměstnance: 47 České pošty - útoky phishingu šířené pod hlavičkou České pošty počali decimovat naše území v srpnu 2013, kdy byla na různé adresy rozesílána falešná zpráva informující příjemce o nemožnosti doručení zásilky s tím, že bližší informace jsou uvedeny na odkazované adrese. Těchto vln útoků bylo zaznamenáno na našem území celkem deset, kdy 6 vln útoků proběhlo v roce 2013, další 4 vlny probíhaly v průběhu roku 2014. V samotném e-mailu bylo v adrese odesílatele uvedeno slovo „post“ (pošta), aby vznikl dojem, že tyto maily jsou skutečně odesílány z České pošty (
[email protected] ,
[email protected],
[email protected],
[email protected], info@cz,posta.eu). Vlastní text e-mailu obsahuje sdělení v němž je vyhrožováno
jakýmsi
penále
za
každý
den
prodlení
a
odkaz
(hxxp://cs-
post.net/service.php?....), kde lze získat více informací. Pokud se příjemce rozhodne odkaz otevřít je přesměrován na stránky podvodníků, které jsou přesnou kopií stránek České pošty umožňující sledovat stav zásilky. Pokud správně opíše kód (který je prozatím stále stejný 46
Podvodníci se jednoduchou fintou dostanou i na váš účet! Jakou? TN.CZ [online] 05.01.2015 [cit.2015-24-01] Dostupné z: http://www.tn.nova.cz/clanek/podvodnici-se-jednoduchou-fintou-dostanou-i-na-vas-ucetjakou.html 47 Bankovní malwere, aneb s jakými útoky jsem se mohli setkat v roce 2014 , Clever and smart.cz [online] 18.01.2015. [cit.2015-22-01] Dostupné z: http://www.cleverandsmart.cz/bankovni-malwere-aneb-s-jakymiutoky-jsem-se-mohli-setkat-v-roce.2014/
42
22558), je umožněno stáhnout zazipovaný soubor, který v sobě obsahuje malware - jehož cílem je vysátí peněz z účtu postiženého nebo „novinku“
ransomware - který zašifruje
soubory na disku a vytváří na disku soubory se jménem původního souboru, ale jinou příponou a za jejich dešifrování pak požaduje zaplatit. 48 Útoky pod hlavičkou exekutorského úřadu – tyto útoky „pohledávkového spamu“ se začaly Českem šířit na jaře roku 2013 a do konce roku 2014 proběhl útok v 7 vlnách, kdy poslední známá vlna zasáhla naše území koncem listopadu 2014. Na velké množství adres byl rozeslán e-mail, který příjemce e-mailu upozorňoval na nutnost co nejdříve uhradit dlužnou částku, aby se vyhnul možným sankcím a případnému soudnímu řízení. Vlastní e-mail, který se začal šířit na jaře roku 2013 s předmětem „Výše pohledávky na vašem účtu # uvedené číslo # vypadal nějak tato: Vážený zákazníku, jsme rádi, že jste vyuziváli produktu z naší banky. Dovolujéme Vás upozornit, že k DD.MM.2014 dlužné částky na osobní účet ve vysi # uvedená částka # Kč. Nabízíme vám dobrovolně uhradit pohledávku v plné výši do DD.MM.2014. Dobrovolné uhrazení pohledávky a dodržení smlouvy # číslo # umožňuje Vám: 1) Dodržet pozitivní úvěrovou historii 2) Vyhnout se soudním sporům, placení poplatků a jiných soudních nákladů. V případě prodlení uhrady pohledávky xxxx.xx Kč v souladu s platnými právními předpisy, jsme oprávněni zahájit správní sankci na základe pohledávky. Kopie smlouvy a platební údaje jsou připojeny k tomuto dopisu jako soubor „ smlouva_ uvedené číslo.zip“, S Pozdravem, vedoucí odboru vymahani pohledávek x.x. E-mail jako přílohu obsahoval komprimovaný archiv s názvem „ smlouva_Number.zip“ jež obsahoval exe soubor s názvem „smlouva_DD,MM.2013-signed_Number.exe.“- kdy útočník se ani nesnažil zakrýt, že se jedná o exe soubor (obvykle útočníci před příponu napíší ještě jednu nevinnou, jako např. pdf,jpg,.doc). Pokud jde o formu mailu, tak ta byla naprosto tragická, psaná špatnou českou gramatikou, e-mail byl odeslán z pochybné adresy a útočník se to ani nepokusil skrývat, nebylo použito oslovení klienta (což banky vždy dělají), nebylo ani
48
Další vlna phishingu od České pošty s ransomware šifrujicim soubory , Clever and smart.cz [online] 14.11.2014. [cit.2015-22-01] Dostupné z: http://www.cleverandsmart.cz/dalsi-vlna-phishingu-od-ceskeposty-s-ransomware-sifrujicim-soubory/
43
uvedeno jméno finanční instituce, která klienta kontaktuje. Přesto, že tento e-mail vykazoval všechny známky SPAMU, je až neuvěřitelné že ho otevřela, a po kliknutí na odkaz se nakazila více než jedna třetina příjemců (jen na našem MÚ Turnov ho otevřelo 37 zaměstnanců z celkového počtu 140). Uživatel v tomto případě moc dobře věděl, že kliká na ikonu nějaké aplikace a tato aplikace se bez vědomí uživatele připojila na internet a začala stahovat s různých domén další soubory. Aby si malware zajistil své spuštění i po restartu počítače, vytvořil si záznam registru: HKCU[%USERNAME%]\Software\Microsoft\Windows\ CurrentVersion\Run, ve kterém je odkaz na soubor ate.exe., který se nachází ve složce …\App\Datta\Brothel. Zde je nutné ocenit autorův smysl pro humor, neboť slovo „brothel“ znamená v angličtině Bordel, ale i jméno dcery nejvyššího boha Dia, kdy tomu, kdo se o tuto problematiku zajímá, se jistě vybaví počítačový vir trojský kůň s názvem ZeuS. V tomto případě se podvodníkům vyplatilo vsadit na obyčejnou lidskou zvědavost a obavu z nějaké neuhrazené pohledávky a nahrávala jim i skutečnost, že z počátku této SPAM kampaně nebyl téměř žádný antivirus schopný tento malware detekovat. 49
Útočníci vydávající se za mobilního operátora O2 - na našem území byla zaznamenána jen jedna vlna a to ve třetím čtvrtletí roku 2014. Tento útok byl velice dobře připraven, kdy na velké množství e-mailových adres byl rozeslán phishing, který se tvářil jako vyúčtování od společnosti O2, kdy jako adresa odesílatele byla uvedena oficiální adresa společnosti O2. V samotném e-mailu byl přiložen archiv ve formátu ZIP, který obsahoval spustitelný EXE soubor, který se prezentoval ikonou PDF souboru. Po otevření přiloženého archivu opět dochází k infikování počítače a stáhnutí bankovního malware, který si zajistí své spuštění při každém startu počítače. Oproti předchozím útokům, zde dochází k výraznému zlepšení úrovně tohoto SPAMu, neboť nejenže byla jako adresa odesílatele použita oficiální e-mailová adresa společnosti, ale byla napodobena i forma a obsah sdělení, kterou společnost používá. 50 49
50
Přichází Diova dcera Áté, aneb jak tzv. pohledávkový SPAM zasáhl Česko , Clever and smart.cz [online] 26.11.2014. [cit.2015-20-01] Dostupné z: http://www.cleverandsmart.cz/prichazi-diova-dcera-ate-aneb-jaktzv-pohledavkovy-spam-zasahl-cesko/ Další vlna pohledávkového SPAMu, tentokrát od mobilního operátora, Clever and smart.cz [online] 23.10.2014. [cit.2015-20-01] Dostupné z: http://www.cleverandsmart.cz/dalsi-vlna-pohledavkoveho-spamutentokrat-od-mobilniho-operatora/
44
Útoky na klienty České obchodní banky – tento útok cílený na uživatele internetového bankovnictví ČSOB se prohnal Českem jen v jedné vlně a to v období od 29.5.2014-30.6. 2014, kdy útočníci rozeslali phishing e-maily na všechny adresy jež měli k dispozici a spoléhali na to, že mezi příjemci budou i klienti ČSOB a někdo z nich se nechá nachytat. Phishing e-mail se šířil v několika variantách, kdy nejzdařilejší se jeví tato verze: Vážený zákazníku, Obdrželi jste nový záznam z našeho bezpečnostního centra. Přístup k účtu [ … odkaz….] Samotné sdělení nedává příliš smysl, ale je pravděpodobné, že na něj někteří klienti kliknou, a to i přes to, že po najetí myši na odkaz se objeví zcela jiná doména, než jakou by měl klient očekávat. Následně je klient přesměrován na další doménu, na které již běží web, který vypadá naprosto stejně jako internetové bankovnictví. Pokud si klient nevšimne, že se nachází na jiné doméně, zadá přihlašovací údaje a řídí se pokyny na obrazovce, provede nevědomky i autorizaci transakce, kterou zadal útočník. 51 Útoky na účty klientů České spořitelny – první vlně útoků Česká spořitelna čelila okolo 14. 3. 2014, kdy byly šířeny e-maily, které vyzývaly příjemce, aby zaslali své citlivé osobní údaje a také údaje o své platební kartě zpět na e-mailovou adresu odesílatele (jméno a příjmení, rodné číslo, místo bydliště, telefonní číslo, číslo platební karty, platnost karty a kód CVV/CVC2 – poslední tři čísla platební karty nacházející se na zadní straně). Jedna ze zadržených podvodných zpráv dokonce obsahovala fotografii skutečného zaměstnance banky - tyto údaje byly požadovány v 1-3 vlně útoků. Ve čtvrté vlně útoků, která proběhla Českem v polovině června 2014 se šíří e-maily, které se snaží vzbudit dojem, že byly odeslány z České spořitelny a požadují přihlášení klienta na stránky SERVIS 24 Internetbanking, které klient otevře z odkazu. Tyto stránky, které jsou podvržené, ale vypadají jako skutečné, mají klientovi vygenerovat jednorázový SMS kód zprávy s tím, aby ho klient do těchto stránek zadal. SMS však obsahuje jednorázový kód, který je následně útočníky zneužit k nějaké 51
Probíhá phishing na klienty internetového bankovnictví ČSOB, Clever and smart.cz [online] 03.06.2014. [cit.2015-20-01] Dostupné z: http://www.cleverandsmart.cz/probiha-phishing-na-klienty-internetovehobankovnictvi-csob/
45
transakci. Těchto vln útoků bylo zaznamenáno na našem území celkem 10, kdy dále byly v průběhu roku detekovány útoky, kdy malware vložil na počítači klienta do stránek internetového bankovnictví vlastní formulář, který se tvářil jako součást stránky a vyzýval klienty k instalaci bezpečnostní aplikace do jejich chytrých telefonů, kdy si klienti opět stáhli do svých smartphonů vir. 52 Útoky na klienty Air Bank – zatím je známá jen jedna vlna útoků, která proběhla v září 2014, kdy je znám případ klienta Air Bank, kterému přišel a-mail, že se mu změnilo heslo v bankovnictví. Poté co klient telefonicky kontaktoval banku a požádal o změnu hesla, mu bylo sděleno, že mu posílají SMS na základě které změnu potvrdí. Klientovi žádná SMS nepřišla, myslel si, že je to vinou poruchy jeho telefonu, marně se pokoušel přihlásit pomocí starého hesla na svůj účet, což se mu nepodařilo a následně zjistil, že z jeho účtu byla provedena platba ve výši 70 tis. Kč do Belgie. Pokud je jakýkoli přístroj kompromitován, může být totálně ovládán, tudíž volání na infolinku banky může být snadno přesměrováno na operátora, který je součástí hackerského gangu a ten klientovi „radí“ jak postupovat. V takových případech je lepší volat z jiného telefonu. 53 Fio banka – která používá pro svůj smartbanking vlastní chytrou aplikaci musela čelit útokům phishingu v červenci 2014, kdy jsou známy dvě vlny útoků na účty klientů. Zákazníci Fio banky obdrželi podvodnou SMS zprávu, ve které jim Fio děkuje za využívání právě jejich služeb a nabízí stažení dodatečné vylepšené aplikace, kdy je ve zprávě odkaz na server, který se tváří jako hlavní web Fio banky. Z tohoto portálu si pak klienti stáhli a následně nainstalovali aplikaci. Po otevření aplikace bylo potřeba zadat speciální kód, který se vygeneroval na falešném webu Fio banky. Po jeho zadání se falešná aplikace propojila s originální aplikací Fio banky a hackeři tak získali plný přístup k účtům klientů. 54
52
53
54
Probíhá phishing na klienty internetového bankovnictví ČS, Clever and smart.cz [online] 13.12.2014. [cit.2015-20-01] Dostupné z: http://www.cleverandsmart.cz/probiha-phishing-na-klienty-internetovehobankovnictvi-cs/ Nepřišly esemesky, pak z účtu zmizelo 70 tisíc, popsal klient banky, Idnes .cz [online] 19.09.2014. [cit.201530-01] Dostupné z: http://www.ekonomika.idnes.cz/klient-air-bank-prisel-o-70-tisic-skoncily-v-belgii-fbu/ekonomika.aspx?c=140919-092433-ekonomika-fih/ Klient Fio Banky se stal obětí phishingu, Svět androida.cz [online] 10.07.2014. [cit.2015-30-01] Dostupné z: http://www.svetandroida.cz/Fio-banka-phishing-201407/
46
Útoky vedené pod hlavičkou PPL CZ - vlna útoků, v níž hackeři rozesílali phishingové zprávy pod hlavičkou PPL proběhla na našem území prozatím jen jedna a to v září 2014, kdy společnost Professional parcel logistic vydala prohlášení, v němž uvádí, že se stala terčem útoků hackerů, kteří komunikují s klienty jménem společnosti a rozesílají klientům zprávy, které vypadají jako oficiální komunikace PPL. Cílem těchto útoků je podvodně vylákat citlivé údaje - přihlašovací kódy a hesla. V těchto zprávách jsou klienti žádáni, aby zaslali e-mailem společnosti PPL ověřovací kód jejich zásilky. Vzhledem k tomu, že společnost PPL CZ nikdy nevyžaduje ověřování kódů e-mailem, žádala veřejnost v případě, že již na tuto podvodnou právu odpověděli – kontaktovat společnosti PPL, která okamžitě zajistí bezpečnost údajů klientů. 55
2.3
Největší počítačové a mobilní hrozby roku 2014 ve světě
Počítačoví piráti v roce 2014 rozhodně nelenili, kdy se prakticky každý týden, na některém ze světových území objevila nějaká hrozba, podvodná internetová stránka nebo virus. Velmi často při těchto útocích došlo k úniku citlivých osobních dat. Mezi největší počítačové a mobilní hrozby za loňský rok patří: - v lednu 2014 -
byla uveřejněna informace amerického obchodního řetězce Target o
rozsáhlé krádeži zakódovaných osobních identifikačních čísel (PIN) ke kreditním a debetním kartám, k níž došlo v prosinci 2013 a která zasáhla až 70 miliónů jejich zákazníků, kdy společnost uvedla, že zatím jde v USA o druhou největší krádež dat k platebním kartám. Největší takový případ napadení osobních údajů zákazníků maloobchodního řetězce se stal v roce 2007 u společnosti TJX Cos. Tehdy hackeři během 18 měsíců ukradli data k více než 90 miliónům kreditních karet. Firma uvedla, že stále ještě nezná přesný rozsah útoku, s tím, že šlo o dvě se překrývající útočné vlny.56
55
Podvodné e-maily, prosím pozor! PPL Professional parcel logistic.cz [online] 18.09.2014. [cit.2015-30-01] Dostupné z: http://www.ppl.cz/main.aspx?cls=art2art id=32707/ 56 Hackeři se dostali k 70 miliónům PINů platebních karet zákazníků obchodního řetězce, Novniky CZ [online] 10.01.2014[cit.2014-27-10] Dostupné z: http://www.novinky.cz/internet-a-pc/324208-hackeri-se-dostali-k70-milionum-pinu-platebnich-karet-zakazniku-obchodniho-retezce.html
47
Německý spolkový úřad pro bezpečnost v informační technice (BSI) oznámil, že odhalil krádež přístupových hesel k 16 miliónům e-mailových účtů. Podle prvotních informací se měla velká e-mailová krádež týkat ve většině případů Němců, jak se později ukázalo, mezi postiženými bylo také nejméně 138 Čechů. Upozornil na to Národní bezpečnostní tým CSIRT, který je provozován sdružením CZ. NIC.57 Americká Národní agentura pro bezpečnost (NSA) a britská tajná služba GCHQ sbíraly osobní údaje i uživatelů mobilních aplikací, například populární hry Angry Birds. Napsal to americký deník The New York Times a britský The Guardian s odvoláním na dokumenty, které jim poskytl bývalý pracovník NSA Edward Snowden. Podle listů se obě tajné služby pomocí aplikací pro mobilní telefony iPhone a pro telefony se systémem Android dostávaly k informacím o místu pobytu hráče, o jeho stáří a pohlaví. Podle jednoho z britských tajných dokumentů z roku 2012 umožňují některé aplikace dokonce sdílet údaje obsahující detaily o sexuální orientaci uživatele nebo jeho politických preferencích.58 Některé účty elektronické pošty provozované americkou internetovou společností Yahoo se staly terčem útoku. Hackeři při něm ukradli některá uživatelská jména a hesla, která pak byla použita k získání osobních údajů o lidech, s nimiž si uživatelé zasažených účtů v nedávné době psali. Podle firmy nic nenasvědčuje tomu, že hesla či uživatelská jména hackeři získali přímo z jejích systémů. Seznam těchto jmen a hesel, které byly při útoku použity, pravděpodobně pocházel z databáze třetí strany, sdělila také firma, která prý okamžitě provedla kroky na ochranu uživatelů, kterých se věc týká, a mimo jiné je vyzvala, aby si změnili hesla. Yahoo na celém světě registruje 273 miliónů e-mailových účtů.59 Únor 2014 – počítačoví piráti šíří škodlivé viry pomocí podvodných kopií počítačové hry Flappy Bird, která je fenoménem dnešní doby. Tato hra je, ale zároveň i nedostatkovým zbožím, protože ji její tvůrce po vlně kritiky stáhl z internetových obchodů, čehož se snaží 57
Velká e-mailová krádež se týkala i Čechů, Novinky. Cz. [online]23.01.2014[cit.2014-27-10]. Dostupné z: http://www.novinky.cz/internet-a-pc/325392-velka-e-mailova-kradez-se-tykala-i-cechu.html 58 Tajné služby sbíraly osobní údaje o hráčích Angry Birds, Novinky. Cz. [online]27.01.2014[cit.2014-27-10]. Dostupné z: http://www.novinky.cz/zahranicni/amerika/325794-tajne-sluzby-sbiraly-osobni-udaje-o-hracichangry-birds.html 59 Hackeři ukradli data k e-mailům společnosti Yahoo, Novinky. Cz. [online]31.01.2014[cit.2014-27-1].Dostupne z: http://www.novinky.cz/internet-a-pc/326184-hackeri-ukradli-data-k-emailum-spolecnosti-Yahoo.html
48
využít právě hackeři. Podvodné verze hry vypadají do posledního puntíku stejně jako originál. Dokonce mají na ploše i stejnou ikonu. Poznat je navíc není vůbec jednoduché, protože internetem kolují i neinfikované kopie Flappy Birdu. Bezpečnostní experti z laboratoří TrendLabs varovali, že falešné aplikace narozdíl od těch legitimních zneužívají zpravidla mobilní přístroje k platbám za prémiové služby. Odesílání SMS zpráv na placená čísla lidé odhalí zpravidla pozdě, až po příchodu velmi vysoké faktury. Další podvodná aplikace zase po pár dnech od instalace začne tvrdit, že vypršela zkušební doba a za další používání je nutné zaplatit. Samotnou hru přitom pravý tvůrce Nguyen Dong nabízel pro chytré telefony a počítačové tablety zcela zdarma – příjmy dostával pouze za zobrazovanou reklamu.60 Narůstá počet škodlivých aplikací pro mobilní zařízení s operačním systémem Android, kdy antivirová společnost Kaspersky Lab za leden identifikovala kolem 200 000 jedinečných vzorků mobilních škodlivých programů. To je o 34 procent více než v listopadu 2013, kdy odhalila 148 000 vzorků. Hlavní platformou, na kterou se kybernetičtí zločinci zaměřují, je Android. Oficiální obchod pro Android nabízel na konci ledna 2014 přes 1,1 miliónu aplikací. Neoficiální obchody jich prodávají daleko víc a jsou mnohem pravděpodobněji škodlivé. Ve většině případů škodlivé programy cílí na finanční údaje uživatelů. To je případ třeba mobilní verze trojského koně Carberp původem z Ruska, který krade informace uživatelů ve chvíli, kdy se odesílají na bankovní server. Dle Kaspersky Lab v Rusku v současnosti vzniká většina škodlivého softwaru pro Android.61 Internetem kolují další škodlivé mobilní aplikace, které jsou sice zdarma, ale mají potají přidanou funkci premium SMS, jmenují se „Easy Hairdos“, „Abs Diets“, „Workout Routines“ a „Cupcake Recipes“. Podvodníci se snaží důvěřivce většinou nalákat na nejrůznější hry, výjimkou nejsou, ale ani aplikace pro organizaci času nebo asistenti pomáhající s hubnutím.
60
61
Miliónovou hru zneužívají počítačoví piráti, Novinky.Cz[online]16.02.2014[cit.2014-27-10]. Dostupné z: http://www.novinky.cz/internet-a-pc/hry-a-herni-systemy/327726-milionovou-hru-zneuzivaji-pocitacovipirati.html Deset miliónů virů ohrožuje chytré telefony a tablet s Androidem Novinky.Cz[online]07.02.2014[cit.2014-2710]. Dostupné z: http://www.novinky.cz/internet-a-pc/mobil/326999-dest-milionu-viru-ohrozuje-chytretelefony-a-tablety-s-androidem-htlm
49
Podobné aplikace mají vždy společný základ – jejich instalací uživatel dovoluje odesílat prémiové SMS zprávy. Právě kolonkám, které informují o různých oprávněních aplikace, nevěnuje většina lidí při instalaci žádnou pozornost. Že se nechali počítačovým pirátem napálit, tak zpravidla poznají až z tučného výpisu telefonního účtu. Stažením těchto aplikací se podle analýzy bezpečnostní společnosti PandaLabs kyberzločincům podařilo nakazit více než 300 000 zařízení s operačním systémem Android. Pomocí těchto aplikací, které pomáhají odsávat peníze z účtů jiných lidí si kyberzločinci přišli na počátku roku 2014 minimálně na šest miliónů dolarů, tedy na více než 120 miliónů korun. 62 - Březen 2014 - počítačoví piráti zaútočili na stránky Kremlu – ruského prezidentského úřadu a podařilo se jim vyřadit z provozu na nějakou dobu i stránky ruské centrální banky.63 - Duben 2014 – byla zjištěna závažná bezpečnostní chyba knihovny OpenSSL, která patří k nejrozšířenějšímu kryptovacímu softwaru na Internetu. Tato chyba umožňuje ukradení informací, které jsou za normálních podmínek zabezpečeny pomocí SSL/TLS (šifrování k ochraně dat na Internetu, které poskytuje bezpečnost a ochranu údajů pro web, e-maily a další software.) Bezpečnostní experti proto vyzývají, aby si uživatelé neprodleně změnili svá hesla k e-mailu, sociálním sítím, on-line bankovnictví a nejrůznějším internetovým obchodům. Pokud by někdo této chyby využil a data odposlechl, může s těmito všemi údaji disponovat. Vzhledem k tomu, že je řada účtů navázána na platební karty, je hrozba nebezpečí o to závažnější. Jde o jedno z nejzávažnějších bezpečnostních ohrožení v historii Internetu, protože vystavilo potencionálním útokům většinu sítě, kdy dvěma ze tří internetových uživatelů podle bezpečnostních expertů hrozí nebezpečí. Mnozí tito odborníci zabývající se bezpečností na Internetu jsou podle BBC (britské rozhlasové a televizní společnosti) situací velmi šokováni.64
62
Podvodníci napálili stovky tisíc lidí, pomalu jim vysávají peníze přes telefon, Novinky.Cz [online]17.02.2014[cit.2014-27-10]. Dostupné z: http://www.novinky.cz/internet-a-pc/327924-podvodnicinapalili-stovky-tisic-lidi-pomalu-jim-vysavaji-penize-pres-telefon.html. 63 Počítačoví piráti zaútočili na stránky Kremlu a ruské centrální banky, Novinky.Cz [online]14.03.2014[cit.201427-10]. Dostupné z: http://www.novinky.cz/internet-a-pc/330336-pocitacovi-pirati-zautočili-na-strankyKremlu-a-ruske-centrálni-banky.html. 64 Změňte hesla vyzývají experti, kvůli chybě krvácejícího srdce, Novinky.Cz[online]09.04.2014[cit.2014-27-10] Dostupné z: http://www.novinky.cz/internet-a-pc/33043-zmente-hesla-vyzyvaji-pocitacovi-experti-kvulichybe-krvacejiciho-srdce.html.
50
Spolkový úřad pro bezpečnost v informační technice (BSI) odhalil obří e-mailovou krádež, při které se počítačovým pirátům podařilo získat přístupové údaje k více než 18 miliónům elektronických poštovních schránek, informoval deník Frankfurter Allgemeine Zeitung s tím, že postiženy jsou účty u německých i mezinárodních serverů. Kromě e-mailů se piráti mohou dostat také k nejrůznějším citlivým údajům na sociálních sítích, ale i k nejrůznějším internetovým obchodům, kde mají lidé uloženy údaje o svých platebních kartách. Jedná se o druhou vlnu útoků, kdy první proběhla v lednu 2014. 65 Nebezpečná chyba Internet Exploreru ohrožuje desítky miliónů lidí, před touto trhlinou populárního prohlížeče Internet Explorer varovala společnost Microsoft. Americký softwarový gigant tvrdí, že chybu mohou kyberzločinci zneužít k neoprávněnému přístupu k cizím počítačům a datům, která jsou v nich uložena. Závada postihuje všechny verze Internet Exploreru od šesté po jedenáctou. Microsoft uvedl, že má zprávy o „omezených, cílených útocích" s cílem tento nedostatek zneužít. Závadou se prý zabývá a podnikne „přiměřené" kroky. Vlády USA a Velké Británie proto ihned uživatelům počítačů doporučily, aby až do odstranění závady přešli na jiné prohlížeče.66 - Květen 2014 - největší aukční server světa eBay postihl kybernetický útok. Při němž se pirátům podařilo odcizit 145 miliónů hesel. Kromě šifrovaných hesel se tak piráti dostali podle vyjádření eBaye také k e-mailovým adresám, uživatelským jménům, fyzickým adresám, telefonním číslům a datům narození. Údaje týkající se financí však odcizeny údajně nebyly. Uživatelé se podle společnosti eBay nemusí obávat zneužití údajů týkajících se platební brány PayPal, kterou společnost vlastní. Pomocí ní probíhají platební transakce nejen na tomto aukčním serveru, ale také na mnoha dalších. PayPal data jsou uložena odděleně v zabezpečené síti a všechny finanční informace týkající se těchto účtů jsou zakódovány, uvedla společnost, kdy její zástupci počaly dotčené uživatele vyzývat ke změně svých přístupových
65
66
Němci odhalili obří krádež miliónů e-mailů, Novinky.Cz[online]04.04.2014[cit.2014-30-10] Dostupné z: http://www.novinky.cz/internet-a-pc/332497-nemci-odhalili-obri-kradez-milionu-e-mailu.html. Nebezpečná chyba Internet Exploreru ohrožuje desítky miliónů lidí, Novinky.Cz[online]28.04.2014[cit.201430-10] Dostupné z: http://www.novinky.cz/internet-a-pc/software/334749-nebezpecna-chyba-internetexploreru-ohrozuje-destiky-milionu-lidi.html.
51
údajů. Útok se měl uskutečnit už na přelomu února a března, zástupci firmy však o něm informovali až v polovině května. 67 - Července 2014 - internetové stránky Evropské centrální banky (ECB) se staly terčem hackerského útoku. Hackeři, dle oznámení banky ukradli některé e-mailové adresy a jiné kontaktní údaje. Data, která by mohla ovlivnit vývoj na trzích - interní systémy nebo údaje citlivé pro trhy poškozeny nebyly, uvedla banka ve svém prohlášení. Hackeři se dostali do databáze s informacemi o lidech, kteří se registrovali na konference ECB, jako návštěvy a další události. Databáze je oddělená od vnitřních systémů ECB. Banka o krádeži dat informovala poté, co dostala anonymní e-mail s žádostí o peníze výměnou za tyto adresy. O případu informovala německou policii a začalo vyšetřování. 68 -Srpen 2014 - odhalena největší krádež přihlašovacích údajů v historii Internetu, kdy mělo být ukradeno během obřího hackerského útoku na stovky tisíc webů více než 1,2 miliardy hesel. Za útokem stojí bezejmenná skupina, kterou bezpečnostní experti pojmenovali CyberVor (Kybernetický zloděj), kdy tento gang počítačových pirátů měl napadnout více než 420 tisíc internetových stránek a FTP serverů. Dle zpráv společnosti BBC - stopy útočníků vedou do Ruska. Při útoku byla zasažena nejen prakticky všechna průmyslová odvětví po celém světě, ale i množství malých, či dokonce osobních webových stránek. Právě to, že se hackeři nezaměřovali pouze na velké společnosti, ale na všechny stránky Internetu, výzkumníky znepokojilo. Podle bezpečnostních expertů gang kybernetických nájezdníků budoval obří databázi přihlašovacích údajů. Nezanedbatelné množství z nich nakoupili od ostatních hackerů na černém trhu.69
67
Z eBay bylo ukradeno 145 miliónů hesel,Novinky.Cz[online]22.05.2014[cit.2014-30-10]. Dostupné z: http://www.novinky.cz/internet-a-pc/bezpecnost/336991-z-ebay-bylo-ukradeno-145-milionu-hesel.html. 68 ECB announces theft of contact information,European Central Bank,eu.[online]24.07.2014[cit.2014-15-11]. Dostupné z: http://www.ecb.europa.eu/press/pr/date/2014/html/pr140724.html. 69 Odhalena největší krádež v historii internetu. Stopy vedou do Ruska, Novinky.Cz[online]06.08.2014[cit.201430-10]. Dostupné z: http://www.novinky.cz/internet-a-pc/bezpecnost/334662-odhalena-nejvetsi-kradez-vhistorii-internetu- stopy-vedou-do-ruska.html.
52
2.4
Fáze kyberútoků na účty klientů – nakazí se počítač a poté mobil
Útoky na účty klientů, kteří využívají internetové bankovnictví, jsou stále častější a dokonalejší a mají jednu zásadu, nejdříve útočník potřebuje získat přístup k počítači klienta a pro odcizení financí potřebuje ovládnout i jeho telefon. Celý útok probíhá tak, že útočník nejprve vytvoří takový malware (škodlivý program), který zpočátku nebude zachycen a rozpoznán žádným antivirem a snaží se tento malware dostat ke klientovi. Vir se dostane ke klientovi tím způsobem, že útočník rozesílá e-maily s nakaženou spustitelnou přílohou nebo odkazem, na který příjemce klikne a tím si ho stáhne do svého počítače. Nad obezřetností příjemců těchto emailů zvítězí přirozená lidská zvědavost a obava příjemce zprávy, že se nějakým nedopatřením dostal např. na seznam dlužníků, nebyla mu doručena zásilka nebo někdo zneužil jeho platební kartu. Po otevření emailu a zjištění, že se ho uvedená věc netýká, už dotyčný nevěnuje e-mailu pozornost a netuší, že se nakažená příloha nebo odkaz stáhl do počítače a vesele se šíří dál. Druhou možností (náročnější na provedení) je dostat malware k příjemci prostřednictvím hojně navštěvovaného serveru, kdy útočník nějaký takový server kompromituje a začlení vir přímo do stránky a pak už jen čeká, až oběť na tuto stránku zavítá a škodlivý kód se bez jejího vědomí a jakékoli interakce stáhne do jejího počítače. V obou případech se malware po spuštění spokojí s právy běžného uživatele a v mnoha případech dokáže: ►odchytávat přihlašovací údaje do internetového bankovnictví, které jsou někdy dostatečné k tomu, aby útočník mohl transakci provést z jiného počítače; ►pořizovat snímky obrazovky nebo dokonce nahrává video, což útočníkům umožňuje analyzovat, jakým způsobem se dané internetové bankovnictví používá; ►měnit konfiguraci napadeného počítače a tím vyřadit z provozu antivir, firewall (ochrana neoprávněného přístupu ze sítě) nebo měnit záznamy DNS (převody doménových jmen a IP adres) a přidávat do počítače své vlastní certifikáty; ►začlenit se do systémových procesů – čímž získá kontrolu nad systémem a dokáže číst a měnit přenášená data; ►vzdáleně a skrytě ovládat daný počítač a přistupovat i k periferiím jako je čipová karta; ►prohledávat souborový systém s cílem najít citlivá data, jako jsou e-maily, certifikáty a hesla; 53
►vkládat vlastní formuláře do stránek internetového bankovnictví, kdy požaduje zadání dalších údajů jako je číslo telefonu nebo platební karty; ►provádět transakce přímo z napadeného počítače a měnit to, co uživatel vidí na obrazovce, např. provedené platby, zůstatek na účtu, kontaktní informace apod.; Poslední dvě funkcionality jsou něco, co se musí vyrobit pro každé internetové bankovnictví útočník si to buď naprogramuje sám, nebo si musí takový webinject koupit na černé trhu. V první vlně útoků nemusí dojít k žádným finančním ztrátám, jelikož útočník nejprve zjišťuje, kolik procent uživatelů se může nakazit, jak dané internetové bankovnictví funguje a jak se mu rychle vrátí investice vložená do zorganizování podvodu. Po úspěšném nakažení počítačů klientů přichází na řadu druhý krok. Vzhledem k tomu, že autorizace transakce je většinou prováděna pomocí odeslání autorizačního kódu pomocí SMS na mobil uživatele a zpětného zadání do internetového bankovnictví je třeba nakazit i mobilní telefony uživatelů. To se provádí tím způsobem, že do podvržených stránek internetového bankovnictví útočníci vloží, pod záminkou bezpečnosti internetového bankovnictví, formulář s požadavkem na zadání telefonního čísla a instalace aplikace do mobilního telefonu, která pak tyto SMS s autorizačními kódy odchytává ještě dříve, než se k nim dostane naivní klient a posílá je útočníkovi, kterému již nic nebrání, aby převáděl peníze z internetového bankovnictví pryč. Samotné transakce jsou pak útočníky realizovány manuálně, v poloautomatickém či plně automatickém režimu, a to na jiném počítači, který má útočník pod kontrolou, nebo přímo z počítače napadeného klienta. Poté dochází k převodu finančních prostředků z účtů napadených klientů na účty najatých lidí „ bílých koní“. Vzhledem k tomu, že tyto inzeráty zprostředkující nabídku práce, se nacházejí na známých a hojně navštěvovaných webech, jako je Linkedln nebo jobDNES, je velice obtížné zjistit, aniž by na ně člověk reagoval, zda se jedná o naprosto legitimní nabídku práce či nikoliv. Poté útočník čeká, až na jeho inzerát slibující zajímavou finanční odměnu narazí osoba hledající práci a kontaktuje ho. Obsahem práce bílého koně je vybrat peníze, které mu přijdou na účet a poslat je přes Western Union či Money Gram (poskytujících služby hotovostních převodů peněz po celém světě, do několika minut a bez použití bankovních účtů) útočníkům a informovat je o transakci, kdy tito bílí koně 54
získávají provize ve výši 5% převedené částky. Je zřejmé, že samotné nakažení počítače oběti, převod peněz na účet bílého koně a výběr hotovosti z bankomatu musí proběhnout velice rychle, neboť s časem úspěšnost takového útoku podstatně klesá. 70 Na obrázku níže je uvedena ukázka skutečné phishingové e-mailové zprávy, která se šířila Českem v květnu 2014. Obrázek 6: Ukázka podvodné e-mailové zprávy – útok na klienty České spořitelny
Zdroj:Upozornění na nový phishingový útok,Česká Spořitelna, a.s.[online] 07.05.2014.[cit.2015-3001]Dostupné z: http:// www.csac.a.s.cz/ banka/ coonect/ inet/ banka/ internet/ news_ie_2126.xml? archive. Page = press-release-archive&navid=navsym_00119_archiv_tiskovych_zprav_/ 70
Jak probíhá útok na klienty internetového bankovnictví, Clever and smart.Cz [online] 31.07.2014 [cit.201510-02]. Dostupné z: http://www.cleverandsmart.cz/jak-probiha-utok-na-klienty-internetoveho-bankovnictvi2.dil/
55
Obrázek 7: Ukázka podoby počítačového viru, který vyzývá na podvodných stránkách ke stáhnutí aplikace do mobilního telefonu
Zdroj:Upozorňujeme na novou podobu počítačového viru,Česká Spořitelna, a.s.[online] 16.05.2014. [cit.201505]- Dostupné na WWW. http://www.csas.cz/ banka/content/inet/banka/news_ie_2134. xml?archivePage= press-release-archive&navid =navsym_00119_archiv_tiskovych_zprav/ >
V zamyšlení, proč je útok na klienty internetového bankovnictví tak úspěšný je nutné si uvědomit, že většina domácností vlastní počítač, který využívají všichni členové a všichni na něm pracují a na Internet přistupují většinou pod stejným heslem. A tak se může stát, že e-mail s nakaženou přílohou otevře a spustí někdo jiný, než uživatel internetového bankovnictví. Uživatel se pak nic netuše přihlásí na stránky Internetbankingu, aby zaplatil účty. Zde na něho již číhá formulář požadující zadání citlivých údajů za účelem ověření jejich identity, který navíc nabízí za účelem zvýšení bezpečnosti k instalaci „bezpečné“ aplikace do jejich chytrého telefonu. A nemůžeme se pozastavovat nad tím, že se tito uživatelé doporučením řídí, vždyť se jim zobrazilo po úspěšné autentizaci na obrazovce počítače přímo na stánkách banky. Klient, který se nachází přímo na stránce Internetbankingu si sice může ověřit (tím způsobem, že do banky zavolá, nebo se přihlásí z jiného počítače), zda obsah stránek, které vidí na obrazovce, pochází od banky nebo od útočníka, ale nemá důvod pochybovat. Vždyť on sám si není vědom, že by stáhl nějaký vir a došlo k napadení jeho počítače, počítač se chová obvykle a vše je jak má být. V URL (adresa určující umístění dokumentu na Internetu) je uvedena správná adresa, ikona zámečku a certifikát. 56
Jistě všichni klienti už někde zaslechli, že nějaké útoky hackerů na klienty bank probíhají, ale většina si nepřipouští, že by se to mohlo týkat i jich, o tuto problematiku se nezajímá a tak nějakou bezpečnost neřeší. 71 Jelikož útoků na účty klientů přibývá, banky neustále vydávají tiskové zprávy a prohlášení, v nichž své klienty varují před hackerskými útoky, které jsou stále důmyslnější a dokonalejší. Nejsou již psány špatnou gramatikou, provedení se neustále vylepšuje, kdy např. na přelomu roku 2014/2015 byla zaznamenána vlna útoků, kdy hackeři posílali nevyžádané e-maily – tentokrát pod záminkou přání do nového roku, nebo v podobě objednávky zboží z internetových obchodů. Konkrétní čísla o útocích, počtu napadených účtů a výše podvodně převedených částek však banky pečlivě tají.72
2.5
Minivýzkum bezpečnosti bezhotovostního platebního styku
Při psaní této práce mi přišlo zajímavé provést malý průzkum s cílem zjistit, co v dnešní době považují uživatelé bezhotovostního platebního styku za nejvíce rizikové. Prostřednictvím dotazníku bylo osloveno 150 respondentů. Respondenti byli rozděleni do 3 kategorií, kdy jsem se snažila oslovit v každé kategorii stejný počet lidí ve stejném zastoupení obou pohlaví. Dotazníky byly rozeslány e-mailem a osobně předány, kdy se mi jich vrátilo zpět 128 kusů. Z uvedeného počtu bylo ve věkové kategorii do 30 let zpracováno 41 dotazníků, ve věkové kategorii 31-50 let bylo zpracováno 45 ks a ve věkové kategorii 51 let a více bylo zpracováno 42 dotazníků. Dotazovaným byla položena otázka, co považují za nejméně bezpečné, kdy bylo možno zvolit jednu z těchto možností: 1. využívání internetového bankovnictví 2. platbu kartou při nákupu na internetu 3. platbu bezkontaktní kartou 4. výběr z bankomatu 5. vše považuji za bezpečné 6. vše považuji za nebezpečné
71
72
Jak probíhá útok na klienty internetového bankovnictví – 3. díl, Clever and smart.Cz [online] 15.01.2015[cit.2015-10-02] Dostupné na WWW.
Banky bijí na poplach, útoků na účty přibývá, Novinky. Cz [online] 18.01.2015[cit.2015-10-02] Dostupné na WWW.
57
Z výzkumu vyplývá, že za na nejvíce rizikové je považováno placení kartou při nákupu v internetových obchodech, kdy tuto možnost zvolilo z celkového počtu 128 dotazovaných 59 respondentů (46,10 %). Obavy o své peníze při používání internetového bankovnictví uvedlo 36 dotázaných (28,13 %), poté následuje riziko při placení bezkontaktní kartou, které uvedlo 12 (9,37 %) respondentů. Výběr z bankomatu považuje za nejméně bezpečný pouze 7 dotazovaných (5,47 %). Z osloveného počtu 9 dotazovaných (7,03 %) uvedlo vše jako nebezpečné a 5 dotazovaných (3,9 %) uvedlo, že považuje vše za bezpečné. Výsledky minivýzkumu bezpečnosti jsou uvedeny v následujícím grafu: Graf 2: Co je považováno za nejméně bezpečné
Zdroj: dotazníkový minivýzkum v období od 10. 2. 2015 od 9. 4. 2015; konstrukce vlastní
Následně byla provedena analýza dle věku, kdy platbu kartou v internetových obchodech považuje za nejvíce rizikovou věková skupina 31-50let, následuje skupina od 51let a ve věkové skupině do 30 let uvedlo tuto variantu překvapivě pouze 16 dotazovaných. Dle mého názoru je to tím, že ačkoli tato věková skupina nakupuje prostřednictvím Internetu nejvíce, naučila se využívat dobíjecí platební kartu typu Blesk peněženky, která tato rizika minimalizuje, či se naučila při používání internetového bankovnictví po platbě kartou v internetových obchodech měnit limity pro tyto platby, čímž se minimalizují ztráty. Dále, v této věkové skupině, oproti ostatním skupinám, převažuje obava možných rizik při používání internetového bankovnictví. Z celkového počtu 12 respondentů, kteří uvedli, jako nejrizikovější platbu bezkontaktní kartou, jich je 7 (59 %) z věkové skupiny 31-50 let a 58
překvapivě nejméně – 2 respondenti z věkové skupiny 51 a vice let, kdy tato věková skupina převažuje (62 %) v odpovědi – vše je nebezpečné. Ačkoli byl ve vrácených dotaznících prakticky stejný podíl mužů a žen, nebylo provedeno zkoumání vzhledem k pohlaví, jelikož dle předběžných propočtů se prakticky tyto skupiny nijak výrazně ve svých odpovědích neodlišovaly. Co je považováno za nejméně bezpečné, v rozdělení dle věkových kategorií si můžeme prohlédnut na níže uvedeném grafu. Graf 3: Co považují za nejméně bezpečné jednotlivé věkové kategorie
Zdroj: dotazníkový minivýzkum v období od 10. 2. 2015 od 9. 4. 2015; konstrukce vlastní
Z uvedeného minivýzkumu jasně vyplývá, že většina dotázaných považuje za nejméně bezpečnou platbu kartou v internetových obchodech, ale najdou se i tací, kteří si žádná rizka nepřipouští, a považují vše za bezpečné.
2.6
Shrnutí rizik
Současně s vývojem platebních prostředků dochází k vývoji praktik, kterými se část lidí snaží získat finanční prostředky podvodným způsobem, kdy nejdříve tito nepoctivci napodobovali „padělali“ mince a bankovky. S postupným přechodem od hotovostního platebního styku na jeho bezhotovostní formy a vlivem technologického vývoje, dochází i k rychlému vývoji podvodných technik - získávání citlivých údajů a jejich následného zneužití. 59
Jedním z častých způsobů jak podvodníci získávají citlivé údaje je, že umístí na bankomat skimmovací (kopírovací) zařízení, pomocí něhož zkopírují údaje na platební kartě a pomocí např. minikamery, či falešné klávesnice odpozorují PIN. Následně dochází k výrobě falešné platební karty a neoprávněnému výběru hotovosti z účtu klienta. Další praktikou je instalace škodlivého softwaru (malwaru) v bankomatu, kdy tento malware lze ovládat na dálku, pomocí SMS a podvodníci pak pomocí textových zpráv zadávají bankomatu příkazy a výběr hotovosti probíhá bez použití platební karty. Dle statistik útočí hackeři (podvodníci) nejčastěji na účty klientů, kteří využívají internetové bankovnictví a to tím způsobem, že se snaží ukrást jejich identitu a získat citlivá data prostřednictvím podvodných e-mailů (phishingu) nebo útočí na konta klientů prostřednictvím škodlivých programů (malware). Tento útok probíhá ve dvou fázích, kdy útočník nejdříve potřebuje získat přístup k počítači klienta a poté ovládnout i jeho chytrý telefon. Po úspěšném zdolání obou kroků následně dochází k převodu finančních prostředků z účtů napadených klientů na účty najatých lidí „bílých koní“ jejichž práce spočívá ve vybrání financí a provedení hotovostních převodů na účty hackerů. V roce 2014 bylo na území ČR zaznamenáno 78 % všech útoků pomocí phishingu a malware, kdy zbytek tvoří útoky realizované prostřednictvím sociálních sítí - zejména Facebooku, které zaznamenaly v loňském roce také prudký nárůst. Tyto metody jsou stále sofistikovanější a nebezpečnější, kdy v loňském roce byly příčinou neoprávněného odčerpání peněz z účtu klientů prostřednictvím internetového bankovnictví v 95 % případů. Prakticky každý týden se v loňském roce na některém světovém území objevila nějaká nová kybernetická hrozba, podvodná internetová stránka nebo virus. I na našem území můžeme rok 2014 považovat za přelomový, neboť průběžně po celou dobu probíhaly útoky na klienty největších českých bank, a v druhé polovině roku bylo rozesláno tolik phishingových e-mailů jako nikdy předtím. Dle provedeného minivýzkumu má většina lidí obavy z možných útoků, ale doufá, že jich se to týkat nebude a dle zveřejněných statistik o počtu skimmingu, či útoků na účty klientů internetového bankovnictví je zřejmé, že bezpečnost je značně podceňována. 60
3 Zabezpečení proti útokům - podvodům Bezhotovostní platební styk se stal součástí našich běžných životů, kdy používání platební karty, výběry z bankomatů a využívání internetového bankovnictví je nedílnou součástí našich denních činností. Avšak přímo úměrně s dobou, kdy tyto prostředky využíváme a pokládáme je za samozřejmost, klesá i naše ostražitost. Určité riziko hrozí vždy, ale je stejné, jako v reálném životě. Pokud se chováme obezřetně, nejednáme lehkovážně a řídíme se bezpečnostními pravidly, měli bychom předcházet rizikům zneužití, protože za vykradený bankovní účet si může nejčastěji klient sám.
3.1
Bezpečné chování při výběru z bankomatu
Vybírání hotovosti z bankomatu je velmi pohodlným a rychlým způsobem, jak hotovost získat. Bankomaty jsou dnes ve větších městech prakticky na každém rohu. Při jejich používání však manipulujeme se svoji platební kartou, číslem PIN i hotovostí. Proto, abychom o svoji hotovost nepřišli, je nutné být při výběru pozorní a obezřetní a dodržovat tato základní bezpečností pravidla: ►vybíráme si takové bankomaty, v jejichž okolí je poskytnuto dostatečné soukromí, kdy ideálními jsou ty, které nejsou přístupné přímo „z ulice“ - při výběru pečlivě sledujeme okolí, ale nesmíme se nechat rozptýlit a ztratit tak pozornost; ►při přístupu k bankomatu se pečlivě rozhlédneme kolem sebe - zda se v okolí nepohybuje někdo podezřelý – v takovém případě bankomat raději nepoužijeme; ►dbáme, aby ostatní klienti ve frontě dodržovali bezpečností vzdálenost, která je většinou vyznačena hraniční čárou, pokud se někdo v bezprostřední blízkosti nachází – požádáme ho o odstoupení a to i v případě, že se jedná o kamarádku, či kolegu z práce; ►v žádném případě se nenecháme nikým rozptylovat a vyrušovat, pokud jsme při výběru někým osloveni, je nutno dbát zvýšené opatrnosti, jelikož někteří podvodníci se snaží zaujmout pozornost vybírajícího nějakým dotazem či prosbou o pomoc a pak využijí naší zmatenosti - nebavit se v tomto okamžiku ani s kamarády, netelefonovat;
61
►před samotným vložením karty, je nutno si pečlivě prohlédnout bankomat, zda na něm není něco neobvyklého - např. klávesnice je přelepena folií, příliš mělce/hluboce usazena, na snímači karty je nezvyklé zařízení. Při jakémkoli podezření z bankomatu v žádném případě nevybírat a ihned kontaktovat banku, či přímo policii; ►po vložení karty zadat PIN takovým způsobem, aby bylo znemožněno někomu z okolí jej přečíst, např. překrýt klávesnici rukou, či vytvořit jinou clonu, která znemožní i případnému umístěnému nelegálnímu pozorovacímu zařízení zjistit údaje; ►při každé transakci si vyžádat stvrzenku o výběru a nezapomenout ji odebrat a v žádném případě ji nevyhazovat do koše umístěného u bankomatu (kde by podvodník mohl zjistit údaje o účtu, jako je částka zůstatku), nezapomenout vyjmout kartu z bankomatu a uložit si ji tak, aby nebyla snadno dostupná; ►nezapomenout odebrat hotovost, ta sice při neodebrání po krátkém čase zajede zpět do bankomatu, ale pokud mezi tím někdo nepoctivý přistoupí k bankomatu a hotovost odebere, nemáme nárok na její náhradu. Po odebrání hotovosti ji pečlivě uschovat a hlídat; ►pokud bankomat odmítne pro technickou závadu hotovost vydat – ihned kontaktovat banku ►v žádném případě nenechávat v blízkosti karty, ani na kartě napsán svůj PIN kód, nikomu jej nesdělovat a nezaznamenávat si ho písemně; ►pečlivě kontrolovat výpisy z účtu a nastavit si limit pro výběr z bankomatu.73
3.2
Obrana proti kyberútokům při používání internetového bankovnictví
Internetové bankovnictví v dnešní době nabízí všechny funkce jako kamenná pobočka a vzhledem k tomu, že umožňuje provádět bankovní operace 24 hodin denně, 7 dní v týdnu a lze se připojit z jakéhokoli počítače, jeho význam neustále roste. V současné době 80 % transakcí klienti zadávají elektronicky a jelikož se zde pracuje s penězi, je bezpečnost prvořadou záležitostí. Tato služba je proto zabezpečena na několika úrovních, kdy systém
73
Jak správně vybírat z bankomatu, Poraď.Cz, Osobní finance [online] 2008-2015[cit.2015-05-02] Dostupné z: http://www.osobni-finance.porad.cz/kreditni-karty/navod/jak-spravne-vybirat-z-bankomatu.html.
62
ochrany se skládá z několika základních a na sobě nezávislých prvků. Jakmile i jediný prvek chybí nebo nesouhlasí, není možné provádět transakci ani měnit nastavení. ►►První bariérou proti zneužití je: ►jakým způsobem se do internetbankingu přihlašujeme, kdy bezpečné přihlášení na webové stránky internetového bankovnictví je nejdůležitější bariérou jeho zneužití. Klient se většinou přihlašuje svým klientským číslem a následně svým heslem. Jako heslo je nejlépe stanovit kombinaci čísel a malých a velkých písmen, bez osobního vztahu ke klientovi, či osobám jemu blízkým, protože jednoduché heslo je snáze odhalitelné. V žádném případě nepoužívat jako heslo svoje datum narození, rodné číslo, telefonní číslo, po sobě jdoucí číslice (nejčastěji 1234) apod. Heslo pravidelně měnit, doporučuje se po 3 měsících a to pouze na formuláři, který banka prvotně určí, jelikož banka nikdy nebude vyžadovat jiný postup. Již při samotném přihlášení vybrané banky nabízejí klientům možnost napsat své heslo, místo na běžné klávesnici, na tzv. elektronické (grafické) klávesnici. Klávesnici v tomto případě vidíte na obrazovce počítače a jednotlivé znaky vybíráte myší - tím je vytvořena ochrana proti speciálním pirátským programům, které dokážou sledovat, jaké znaky uživatel „zadává“ na klávesnici při přihlašování do internetbankingu. Dále banka chrání klienta při přihlašování tím, že po několika neúspěšných pokusech (většinou třech), kdy klient zadá špatné přihlašovací jméno a heslo, automaticky zablokuje účet. Není to šikana klientů, ale ochrana proti zneužití, aby se nikdo neoprávněný nemohl na účet přihlásit, kdy by podvodník zkoušel zadávat tak dlouho kombinaci hesla a čísla, až by se mu to nakonec povedlo. Pro větší bezpečnost přihlášení je ještě možno použít doplňkovou službu (ne všechny banky ji nabízejí), kdy po zadání klientského čísla a hesla obdržíte SMS zprávu na váš mobilní telefon s dalším (a pouze pro toto přihlášení vytvořeným) heslem, kdy do internetbankingu se dostanete až po jeho zadání. Výhodou přihlašovacího SMS hesla je to, že je to jednorázově vytvořený kód, jehož platnost je časově omezena. Tento způsob je vhodný na počítačích, které využívá více lidí. Po přihlášení a zadání požadované finanční operace následuje: ► autorizace jednotlivých transakcí, která je dalším bezpečnostním prvkem a slouží k tomu, aby žádná transakce nebyla zneužita, v praxi to znamená, že po každém pokynu k převodu peněz (či jiné transakci) klient musí platbu schválit – autorizovat. To se provádí buď pomocí autorizační SMS zprávy, kterou klient obdrží na svůj mobilní telefon a vyplní kód do 63
elektronického formuláře v internetovém bankovnictví na obrazovce. Autorizaci lze provádět i pomocí vyššího typu zabezpečení, kterým je klientský certifikát na čipové kartě, kdy v čipové kartě je uložen tajný osobní klíč klienta a každý pokyn od klienta bance musí být tímto klíčem podepsán. Tajný osobní klíč nelze z karty nijak získat ani ho uhodnout, proto bez této karty není možné elektronický podpis klienta padělat. Banka pak přijme zprávu od klienta (provede transakci) jen po ověření elektronického podpisu podle certifikátu, který klientovi ke kartě vydala. ►►Další opatření, která zvyšují bezpečnost: ►stanovení denních limitů pro maximální výši peněžní transakce zadané přes internetové bankovnictví, kdy uživatel má možnost si upravit denní limity dle vlastní potřeby a při případném zneužití klientova účtu toto osvědčené opatření omezí maximální výši škody; ►automatické odhlášení uživatele internetového bankovnictví po určité době bez jakékoli aktivity. Tím se zabrání zneužití, pokud se klient zapomene z internetového bankovnictví odhlásit, kdy je samozřejmostí, že banky podrobně archivují veškerou komunikaci s jednotlivými uživateli internetového bankovnictví; ►ochrana osobního počítače – kdy samozřejmostí by mělo být, že internetové bankovnictví používáme na dobře chráněném počítači, nikdy nepoužijeme při přihlašování do Internetbankingu počítač, o kterém nevíme, kdo ho používá a jak kvalitně je chráněn a pokud jsme k tomu z nějakých důvodů donuceni, tak pouze s nějakou formou dalšího zabezpečení jakým je např. klientský certifikát či přihlašovací SMS zprávy. Kvalitní zabezpečení počítače maximálně omezí riziko, že si škodlivý počítačový program „přečte“ přístupová hesla. Na počítači by rozhodně neměl chybět aktualizovaný a legálně získaný operační systém (MS Windows, OS X, Linux) a kvalitní antivirový program, který ovšem musí být pravidelně aktualizován (jen tak má program údaje o nejnovějších virech a poskytuje plnohodnotnou ochranu). Dále je nutné mít zapnutou bránu firewall, která kontroluje, aby komunikace mezi počítači probíhala podle určitých pravidel (může např. povolit komunikaci jen mezi předem nastavenými webovými adresami). Podstatnou složkou je také antispyware – ochranný program, který kontroluje všechna příchozí data do počítače, vyhledává škodlivý software a znemožňuje přístup čemukoli, co by počítač mohlo ohrozit;
64
►obezřetné chování - kdy neotvíráme přílohy e-mailů, pokud nevíme, co obsahují a jsou od neznámého odesílatele. Zásadně na tyto e-maily neodpovídat, i když slibují finanční odměnu, nebo naopak vyhrožují zablokováním účtu, pokud neodpovíte. Neotvírat odkazy uvedené v nevyžádaných e-mailech. Neotvírat při práci na internetu odkazy na neznámé stránky, např. s erotickým obsahem, či nabídkou programů ke stažení. Nenahrávat programy ze zdrojů, které nemáme prověřeny.74
►►Desatero bezpečného chování při používání internetového bankovnictví Vzhledem k tomu že kyberútoky na účty klientů se stávají stále častějšími, způsoby útoků stále dokonalejšími a v loňském roce 2014 byla nejvíce těmito vlnami útoků zasažena Česká spořitelna, vydala varování před virem, který lidem vysává peníze z účtů a k tomuto varování připojila bezpečností desatero. Toto desatero je v různých obměnách uveřejněno i na stánkách ostatních bank, a pokud nechceme přijít o své finance, je doporučeno jej dodržovat. 1. Důležité jsou pravidelné aktualizace celého počítače. Ty je nutné stahovat pro operační systém, bezpečnostní bránu (firewall), antivirus a další programy. 2. Některé viry dokáží bezpečností software v PC zablokovat, proto je vhodné pravidelně kontrolovat, zdali funguje. 3. Škodlivé programy se často šíří prostřednictvím nevyžádané pošty. Pokud nevíte od koho e-mail je, nikdy nestahujete jeho přílohu a neklikejte na žádné odkazy. 4. Pozor je nutné dávat na e-maily, v nichž odesílatel požaduje, abyste se přihlásili na nějakou webovou stránku a aktualizovali informace o vašem účtu. 5. Při zadávání přístupových hesel na internetových stránkách je nutné kontrolovat, zda je web zabezpečený. To se pozná podle ikony zámečku na liště internetového prohlížeče, nebo tak, že adresa webové stránky začíná zkratkou https, kde „s“ znamená bezpečně. 6. Citlivé osobní informace zadávejte vždy pouze na internetových stránkách, které bezpečně znáte.
74
Internetové bankovnictví, Bezpečný internet, Cz. [online] 2015 [cit.2015-29-01] Dostupné z: http://www. bezpecny.internet.cz/pokrocily/internetove-bankovnictvi/default.aspx
65
7. Do e-mailů nepatří důvěrné informace, jako je například číslo kreditní karty nebo heslo k bankovnímu účtu. Elektronickou poštu může zachytit útočník. 8. Firewall dovoluje lépe zabezpečit operační systém. Méně zkušení uživatelé by jej rozhodně neměli vypínat. Při nedostatečných znalostech je vhodné jej nechat pracovat v automatickém režimu. 9. V internetových kavárnách a na cizích počítačích se nepřihlašujte do internetového bankovnictví. V počítači mohou být nainstalovány keyloggery (systém, který snímá stisky jednotlivých kláves). 10. Obezřetnost je nutná při připojení k nezašifrovaným bezdrátových sítím. Ty totiž může kdokoli odposlouchávat a získat tak přístup ke všem datům v cizím počítači. 75
3.3
Opatření Vlády ČR v boji proti kyberkriminalitě
Kybernetické útoky se stávají v Česku stále běžnější, přímé ztráty, které utrpěly domácnosti v důsledku těchto útoků, se pohybují ve výši několika desítek až stovek miliónů korun. V loňském roce 2014 se potvrdilo, že Česká republika se začlenila na mapě světa mezi státy, na které budou i nadále vedeny kyberútoky. ČR již neslouží hackerům pouze jako testovací území, na kterém si zkouší útoky na neanglicky mluvící země, ale jako země, která navzdory své velikosti (v porovnání např. se sousedním Polskem) představuje pro hackery velice slušný zdroj příjmů, jelikož podíl nákladů, které musel útočník vynaložit na útoky, se kterými jsme se mohli v loňském roce setkat, se v extrémním případě pohybují v jednotkách procent sumy dosažených příjmů. Dalším negativním zjištěním je, že jak dochází k těsnému propojení klasické a kybernetické kriminality, tak jsou do páchání organizované trestné činnosti na našem území stále více zapojeni i naši občané. Tuzemské internetové společnosti se vážně připravují na případný masivní útok hackerů, který by mohl vážně ochromit českou ekonomiku či bezpečnost, ohrozit banky, mobilní operátory, ale i státní správu.
75
Česká spořitelna varovala před virem, který vysává peníze z účtů, Novinky.Cz. [online]07.09.2014 [cit.201410-12]. Dostupné z: http://www.novinky.cz/internet-a-pc/bezpecnost/347018-ceska-sporitelna-varovala-predvirem-ktery-lidem-vysava-penize-z-uctu. html
66
Rizika nepodceňuje ani vláda České republiky, která dne 19. října 2011 přijala usnesení č. 781 o ustanovení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Na základě tohoto usnesení vzniklo Národní centrum kybernetické bezpečnosti (NKCB), jako součást Národního bezpečnostního úřadu. Toto centrum bylo otevřeno v Brně v květnu 2014. Úlohou centra je koordinace spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům. Tímto usnesením byla ustanovena Rada pro kybernetickou bezpečnost, která je poradním orgánem předsedy vlády pro oblast kybernetické bezpečnosti, kdy hlavními úkoly Rady jsou:
koordinace činnosti státních institucí v oblasti kybernetické bezpečnosti a přispívání k zajištění plnění závazků meziresortní povahy;
koordinace státních institucí při plnění závazků v oblasti kybernetické bezpečnosti, které vyplývají z členství České republiky v mezinárodních organizacích a koordinace zastupování České republiky v mezinárodních organizacích a v dalších zahraničních aktivitách souvisejících s kybernetickou bezpečností;
aktivní vytváření podmínek pro hladké fungování spolupráce mezi členy Rady;
řešení aktuálních otázek kybernetické bezpečnosti a předkládání odborných návrhů a doporučení vládě;
sledování plnění závěrů z jednání Rady jejími členy;
shromažďování, analýza a vyhodnocení údajů o stavu zajištění kybernetické bezpečnosti poskytovaných členy Rady;
příprava návrhu zprávy o stavu zajištění kybernetické bezpečnosti České republiky, která je pravidelně předkládána předsedou vlády vládě jako výchozí dokument, který stanovuje priority a z nich vyplývající úkoly v oblasti kybernetické bezpečnosti pro nadcházející období, spolupráce s externími odbornými subjekty a využívání jejich výstupů v zájmu zajišťování kybernetické bezpečnosti České republiky. 76
76
Rada pro kybernetickou bezpečnost, Národní centrum kybernetické bezpečnosti,[online]2015[cit.2015-03-11] Dostupné z: http://www.govcert.cz/cs/rkb/rada-pro-kybernetickou-bezpecnost/
67
Dne 1. ledna 2015 vstoupil v účinnost zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) a jeho prováděcí právní předpisy – vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích a vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti). Dále bylo novelizováno nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury (tato novela je zveřejněna ve Sbírce zákonů pod číslem 315/2014 Sb.). Česká vláda nedávno schválila Národní strategii kybernetické bezpečnosti České republiky na období let 2015-2020 Národního bezpečnostního úřadu. Zveřejněním této strategie jsou stanoveny vize a priority ČR v oblasti zajišťování kybernetické bezpečnosti v zemi. Strategie určuje, jak dosáhnout toho, aby ČR dokázala čelit kybernetickým hrozbám a rizikům, jak zabezpečit a stabilizovat veškeré systémy. 77 Od 1. 1. 2016 by měl začít fungovat Speciální policejní útvar v boji proti kybernetické kriminalitě, ve kterém budou zástupcům policie pomáhat zástupci Národního bezpečnostního úřadu (NBÚ). V současné době se ladí detaily útvaru, který by měl pokrývat celé Česko a úzce spolupracovat se zahraničím, spolupracovat při vytváření metodiky (která bude řídit činnost v rámci ČR), vyšetřovat a odhalovat případy internetové kriminality, a který bude schopen zajistit technicky zdatné pracoviště pracující v prostředí počítačových technologií. Detaily o útvaru by měly být představeny v druhé polovině letošního roku. 78
3.4
Řešení sporů
V případě, že klient banky zjistí, že na jeho účtu proběhla transakce, ke které nedal souhlas je povinen bez zbytečného odkladu poté, co se o takovéto transakci dozvěděl, nejdéle však do 13 77
Národní strategie kybernetické bezpečnosti, Národní centrum kybernetické bezpečnosti,[ online]2015[cit.201503-11] Dostupné z: http://www.govcert.cz/cs/informacni-servis/strategie-a-akcni-plan/ 78 Útvar proti kyberkriminalitě by měl fungovat od příštího roku, České noviny, Cz.[online]23.01.2015 [cit.201519-02] Dostupné z: http://www.ceske.noviny.cz/zpravy/utvar-proti-kriminalite-by-mel-fungovat-od-pristihoroku/1172499
68
měsíců ode dne odepsání peněžních prostředků z platebního účtu, oznámit tyto skutečnosti bance (poskytovali služeb). Po této lhůtě zanikají práva uživatele a povinnosti poskytovatele.79 Poté, co klient tuto transakci u banky reklamuje, v případě, že banka zjistí, že byly prostředky z účtu čerpány podvodným způsobem, kterému nemohl klient zabránit, klient dodržel veškerá bezpečnostní opatření, pokyny banky a dodržel smluvní podmínky – banka klientovi reklamaci uzná a prostředky vrátí dle zákonných podmínek. V případě, že banka reklamaci zamítne – má klient možnost obrátit se na finančního arbitra, což je státem zřízený mimosoudní orgán příslušný k rozhodování sporů na finančním trhu. Finančního arbitra jmenuje vláda na návrh ministra financí na období 5 let, kdy v případě jeho nepřítomnosti jej zastupuje, v plném rozsahu, vládou jmenovaný zástupce. Řízení před finančním arbitrem je bezplatné, podání musí být učiněno výlučně na návrh zákazníka (spotřebitele) a v řízení se postupuje dle zákona č. 229/2002 Sb., o finančním arbitrovi s použitím zákona č. 500/2004 Sb., správního řádu. Finanční arbitr rozhodne ve věci do 30 (max. 60) dnů ode dne zahájení řízení a ve věci se rozhoduje nálezem. Proti nálezu finančního arbitra lze uplatnit opravné prostředky – námitky. Nález je soudně vykonatelný a má účinky srovnatelné se soudním rozhodnutím. V případě, že klient nesouhlasí s konečným rozhodnutím finančního arbitra, má možnost podat k obecnému soudu proti němu žalobu o přezkum rozhodnutí, kdy soud v případě nesouhlasu se závěry finančního arbitra, jeho rozhodnutí nahradí svým vlastním rozsudkem. 80 V nedávných dnech finanční arbitr uzavřel spor muže, kterému v polovině roku 2014 hackeři prokazatelně odčerpali z účtu 360 tisíc korun pomocí viru, který si stáhl do svého chytrého mobilního telefonu, kdy klikl na odkaz v SMS, kterou mu hackeři poslali. Obrátil se tedy na Kancelář finančního arbitra s míněním, že za ztrátu je odpovědná banka. Tento spor se rozhodl až v letošním roce, kdy banka postiženému vyplatila pouze 20 % uvedené částky, tedy 60 tisíc korun. Dle finanční arbitryně Moniky Nedelkové muž nedodržel bezpečností pravidla, kdy byl hrubě nedbalý a bez rozmyslu, v nočních hodinách, surfoval a klikal na
79 80
Zákon č. 284/2009 Sb., o platebním styku, Část čtvrtá, Hlava I, Díl 6, §121. Řízení před finančním arbitrem, Finanční arbitr,cz.[online]2015[cit.2015-19-02] http://www.finarbitr.cz/cs/financni-arbitr/kancelar-financniho-arbitra.html
69
Dostupné
z:
esemesky a to i včetně té, v níž byl obsažen vir. Jediné pochybení banky vidí arbitryně v tom, že banka klientovi neposlala upozorňující e-mail a neinformovala jej o transakci, která vedla k odčerpání uvedené částky.81
3.5
Očekávaný vývoj útoků
Dle předpovědi analytiků společnosti Kasperky Lab, která byla založena v r. 1997 a dnes patří mezi přední světové dodavatele bezpečnostního software (hlavní sídlo společnosti se nachází v Moskvě), v roce 2015 zintenzivní kybernetické útoky, kdy se útočníci, místo na zákazníky bank, zaměření na útoky na samotné banky. Dle odborníků na bezpečnost v kybernetickém světě je předpoklad, že zažijeme více útoků na soukromá data, jelikož si kybernetičtí zločinci nenechají ujít žádnou příležitost k zneužití platebních systémů. Dále se hackeři budou snažit napadnout zejména propojená zařízení (například tiskárny) sloužící k proniknutí do podnikové sítě.82 Je předpoklad, že se zaměří i na nový Apple Pay, kdy použití této technologie v praxi znamená, že při bezkontaktní platbě „NFC“ nedochází k přenášení detailů o platební kartě, ale pouze bezpečnostního tokenu. tj. další úroveň zabezpečení, jež je žádoucí zejména u plateb mobilními telefony. Společnost Visa Europe oznámila, že v následujících měsících zavede bezpečnostní funkci s názvem tokenizace, jež je jedním z hlavních aspektů Apple Pay - jednou z nejdůležitějších technologií na poli digitálních plateb, která má potenciál odstartovat zcela novou kapitolu mezi nově vyvíjenými produkty 83.
81
Vysáli muži 360 tisíc přes mobil, banka mu vyplatila jen bolestné, Novinky.Cz[online] 26.2.2015 Dostupné z: http://www.novinky.cz/finance/362690-vysali-muzi-360-tisic-pres-mobil-banka-mu-vyplatila-jenbolestne.htlm// 82 Útoky na banky v roce 2015 zintenzivní. ICT manažer, informace pro váš efektivnější byznys [online] 2.12.2014[cit.2015-08-01] Dostupné z: http://www.ictmanazer.cz/2014/12/utoky-na-banky-v-roce-2015zintenzivni/ 83 Visa Europe se připravuje na spuštění Apple Pay, zavádí tokenizaci. Jablíčkář.Cz[online] 25.2.2015 Dostupné z: http://jablickar.cz/visa-europe-se-pripravuje-na-spusteni-apple-pay-zavadi-tokenizaci//
70
3.6
Shrnutí bezpečnostních opatření
Bezhotovostní platební styk se stal běžnou součástí našich každodenních životů, kdy si většina z nás už ani neumí představit nákupy bez použití platební karty, či ovládání svého účtu bez využití internetového bankovnictví. Používání těchto prostředků považujeme za takovou samozřejmost, že přestáváme být ostražití, jednáme nezodpovědně, a už si ani neuvědomujeme rizika, která nám hrozí. Hlavní zásadou je obezřetné chování a dodržování bezpečnostních opatření. Při výběru z bankomatu je nutné být ostražití, všímat si čehokoli podezřelého a nenechat se ničím rozptylovat. Při používání internetového bankovnictví bychom měli dodržovat bezpečností desatero a před otevřením e-mailu, či odkazu z neznámé adresy si dobře promyslet, co tím můžeme způsobit. Určité riziko je spojeno s každou činností, ale pokud budeme dodržovat daná opatření, zamezíme tím zneužití našich finančních prostředků a minimalizujeme ztráty, jelikož za vykradený bankovní účet si většinou může klient sám. V tomto případě nemůže klient počítat s náhradou škody od své banky, ani nemůže počítat s tím, že uspěje při řešení sporu v řízení před finančním arbitrem. Hackerské útoky jsou stále častější a sofistikovanější, každoročně jich přibývá a není výjimkou, že profesionálně navržený program – počítačový vir – dokáže vyřadit z provozu nejen počítačové sítě. Tato rizika nepodceňuje ani Česká vláda, která schválila nový zákon o kybernetické bezpečnosti, díky kterému by měla být Česká republika odolnější vůči případným elektronickým útokům na důležité počítačové systémy v zemi. Primárním úkolem tohoto zákona je sjednocení elektronické komunikace při výměně informací nejen ve státní správě, ale částečně i v soukromé sféře, kde kontrolní a exekutivní pravomoci jsou dány centrálnímu orgánu – Národnímu centru kybernetické bezpečnosti CERT se sídlem v Brně. Tento zákon je postaven na třech pilířích – bezpečnostní opatření – hlášení kybernetických bezpečnostních incidentů – a protiopatření (reakce na incidenty). Odpůrci zákona mají největší obavy z třetího pilíře, kdy uvádějí, že je zde dána státu velká moc regulovat informační sektor a mohlo by dojít k odposlouchávání či přímo odpojování nepohodlných osob či organizací. Zákon vstoupil v platnost 1. ledna 2015
71
Závěr Cílem této bakalářské práce bylo charakterizovat rizika bezhotovostního platebního styku a poskytnout přehled zabezpečení proti útokům neoprávněných osob. Aby se dala charakterizovat rizika bezhotovostního platebního styku, bylo nejdříve třeba všeobecně uvést, co je to bezhotovostní platební styk, popsat jeho vývoj od vzniku peněz, přechod jeho forem od hotovostních na bezhotovostní formy s analýzou historického vývoje bezhotovostního platebního styku na našem území. Bezhotovostní platební styk se stal tak běžnou součástí našich každodenních životů, že si už ani neumíme představit nákupy bez použití platební karty, či ovládání svého běžného účtu bez využití internetového bankovnictví, avšak současně s vývojem platebních prostředků a vlivem nových technologií dochází i k rychlému vývoji podvodných technik, kterými se různí nepoctivci snaží nezákonně získat finanční prostředky. Při popisu rizik zneužití neoprávněnými osobami, která hrozí při bezhotovostních platbách, jsou nejdříve charakterizovány všeobecné formy podvodů a následně analyzovány případy, které byly nejčastěji zaznamenány na našem území. Jedním z častých způsobů, jak podvodníci získávají neoprávněně finanční prostředky je metoda skimmingu, kdy umístí na bankomaty kopírovací zařízení, prostřednictvím něhož získají údaje z platební karty, odpozorují (např. minikamerou) PIN, kdy následně vyrobí falešnou kartu a neoprávněně čerpají hotovost z účtu klienta. Analýza skimmingu byla provedena na základě zveřejněných policejních statistik z let 2005-2014, kdy za rok 2013 došlo k prudkému nárůstu případů skimmingu na 184 z nichž se podařilo policii objasnit 52. Další případy byly došetřovány v roce 2014, kdy poklesl počet nahlášených případů skimmingu na 34 - statistika objasněnosti za rok 2014 dosud nebyla zveřejněna. Dále jsou analyzovány útoky na bankomaty prostřednictvím malwaru – umístění škodlivých programů, kde hackeři následně ovládají bankomaty prostřednictvím SMS a podvodné výběry probíhají bez použití platební karty. Tento jev se řadí mezi novodobější – první větší útok byl v ČR zaznamenán v roce 2013. Prakticky po celý rok 2014 probíhaly na našem území útoky na účty klientů, kteří využívají internetové bankovnictví, kdy útočníci vsadili na šíření bankovního malware (škodlivého programu) prostřednictvím e-mailů a následného přesměrování klientů na falešné platební 72
brány. Tyto útoky mířily na klienty největších českých bank, kdy nejvíce vln útoků proběhlo na účty klientů České spořitelny, dále byly zaznamenány útoky na klienty Air Bank, Fio banky, ČSOB. Tyto útoky probíhaly tak, že nejdříve útočníci rozesílali phishingové e-maily (či SMS) s nakaženou přílohou, kdy se vydávali za exekutorský úřad, mobilního operátora O2, Českou poštu, společnost PPL, či přímo pracovníky bank. Tyto útoky fungují ve dvou vlnách, kdy hackeři nejprve ovládnou počítač klienta a poté se snaží ovládnout i jeho chytrý telefon. Dále byly zaznamenány i útoky na účty klientů vedené prostřednictvím Facebooku, a to buď formou krádeže identity, nebo se útočníci snažili vylákat finance tím způsobem, že se vydávali za kamaráda oběti. Loňský rok můžeme považovat za přelomový, neboť v jeho druhé polovině bylo vedeno tolik útoků, jako nikdy předtím a hlavně tyto útoky jsou stále dokonalejší, důvěryhodnější a jejich oběti nepojali žádné podezření, až když zjistili, že jim z účtu zmizely prostředky. Dle statistik bylo na území ČR v roce 2014 zaznamenáno 78 % všech útoků prostřednictvím phishingu a malware, kdy zbytek tvoří útoky realizované prostřednictvím sociálních sítí, zejména Facebooku. Tyto metody jsou stále sofistikovanější a nebezpečnější, kdy v loňském roce byly příčinou neoprávněného odčerpání peněz z účtu klientů prostřednictvím internetového bankovnictví v 95 % případů. Přesné údaje o počtu obětí těchto útoků a podvodně odčerpaných částkách banky pečlivě tají a nikde je nezveřejňují. V bakalářské práci bylo čerpáno především z internetových stránek společností zabývajících se bezpečností v kybernetickém světě a z dostupných tiskových zpráv daných bank. Při psaní této práce mi přišlo zajímavé provést malý průzkum s cílem zjistit, co v dnešní době považují uživatelé bezhotovostního platebního styku za nejvíce rizikové (kapitola 2.5.), kdy výsledkem dotazníkové ankety je za nejméně bezpečnou považována platba kartou v internetových obchodech. V poskytnutí přehledu zabezpečení proti útokům neoprávněných osob je zdůrazněna hlavní zásada – obezřetné chování a dodržování bezpečnostních opatření, jak při výběru z bankomatu, tak při používání internetového bankovnictví. Vzhledem k tomu, že vlnami hackerských útoků byla v loňském roce nejvíce zasažena Česká spořitelna, vydala na svých stránkách „Desatero bezpečného chování při používání internetového bankovnictví “, kdy toto desatero je v různých obměnách uveřejněno i na stránkách ostatních bank. Pokud jej budeme 73
dodržovat, zamezíme tím zneužití našich finančních prostředků a minimalizujeme ztráty, jelikož za vykradený bankovní účet si většinou může klient sám a v takovém případě nemůžeme počítat s náhradou škody a neuspějeme ani v řízení před finančním arbitrem. Rizika kyberútoků nepodceňuje ani Česká vláda, která za tímto účelem zřídila Národního centrum kybernetické bezpečnosti a schválila zákona č. 181/2014 Sb., o kybernetické bezpečnosti, který je platný od 1. 1. 2015. Prostřednictvím těchto opatření by se měla aktivovat a sjednotit počítačová ochrana státu a Česko by tak mělo být schopno nejen snadněji rozpoznat, ale přímo bojovat s útoky na elektronické úrovni. Počítačoví piráti rozhodně v roce 2014 nelenili, prakticky každý týden se na některém ze světových území objevila nějaká hrozba, podvodná internetová stránka nebo virus. Velmi často při těchto útocích došlo k úniku citlivých osobních dat. I v České republice se kybernetické útoky stávají stále běžnější, v loňském roce se potvrdilo, že jsme se začlenily na mapě světa mezi státy, na které budou útoky vedeny i nadále. S rychlým rozvojem informačních technologií a další integrací nových počítačových systémů se výrazně zvyšuje i riziko elektronického útoku. Na složitých počítačových sítích jsou dnes prakticky závislé všechny obory důležité pro bezchybný a hlavně bezpečný chod státu. Na IT systémech závisí ekonomika jako celek, doprava, energetika a další strategická odvětí. Tyto systémy nám v životě pomáhají, ale také dokážou škodit, jelikož profesionálně navržený program – počítačový vir dokáže vyřadit z provozu nejen počítačové sítě, což Česko poznalo na jaře roku 2013, kdy hackeři vyřadili pomocí tzv. „přehlcení“ počítačových systému několik tuzemských zpravodajských serverů a internetových systémů českých poboček bankovních domů a mobilních operátorů. Po zkušenostech z předešlých let a útocích zaznamenaných v poslední době, je předpoklad, že v letošním roce 2015 kybernetické útoky zintenzivní, kdy se útočníci místo na zákazníky bank zaměří na samotné banky, zažijeme více útoků na soukromá data, hackeři se budou snažit napadnout propojená zařízení (např. tiskárny) prostřednictvím nichž budou pronikat do podnikových sítí, a nenechají si ujít žádnou příležitost k zneužití platebních systémů. Vzhledem k tomu, že bakalářská práce je omezena svým rozsahem, nebylo zde možno zahrnout a analyzovat veškerá rizika bezhotovostního platebního styku a veškeré útoky na účty klientů, kterých proběhlo v nedávné době jak ve světě, tak na území ČR neskutečné 74
množství. Je zde, z mého pohledu, uveden přehled těch nejzásadnějších a nejdůležitějších, které proběhly na našem území a jsou zde i okrajově zmíněny největší počítačové a mobilní hrozby roku 2014 ve světě. Následně je poskytnut přehled zabezpečení proti útokům – jak zabezpečení základního, které je v kompetenci každého uživatele bezhotovostního platebního styku i přehled opatření, jež podniká Česká vláda v boji proti kyberkriminalitě - čímž, dle mého názoru, bylo dosaženo cíle práce.
75
Seznam použité literatury Monografie 1. BROŽ, Jiří, pplk. JUDr. HRADECKÝ, Michal. Platební prostředky, jejich ochrana a padělání. Praha Tiskárna MV, 2008. 160 s. ISBN 80-7312-055-0. 2. DVOŘÁK, Petr. Bankovnictví pro bankéře a klienty. 3.vyd. Praha: LINDE, 2005. s. 681. ISBN 80-7201-515-X. 3. JUŘÍK, Pavel. Platební karty, ilustrovaná historie placení. 1. vyd. Praha:Libri, 2012.s.205 ISBN 978-80-7277-498-2. 4. JUŘÍK, Pavel. Platební karty, velká encyklopedie 1870-2006. 1.vyd. Praha: Grada, 2006. s. 296. ISBN 80-247-1381-0. 5. KALABIS, Zbyněk. Základy bankovnictví: Bankovní obchody, služby, operace a rizika. 1.vyd. Brno: BizBooks, 2012. s. 168. ISBN 978-80-265-0001-8. 6. MÁČE, Miroslav. Platební styk: klasický a elektronický. Praha:Grada, 2006. 220 s. ISBN 80-247-1725-5. 7. POLOUČEK, Stanislav a kol. Bankovnictví. 2. vyd. Praha C.H.Beck, 2013. 480 s. ISBN 978-80-7400-491-9 8. SCHLOSSBERGER, O. Platební služby.1.vyd. Praha:Management Press, 2012. s. 325. ISBN 978-80-7261-238-3. Zákony: 9. ČESKO. Zákon č. 6/1993 Sb. České národní rady ze dne 17. prosince 1992 o České národní bance a o změně a doplnění dalších zákonů (zákon o České národní bance). In: Sbírka zákonů České republiky. 1993, částka 3, s. 35. 10. ČESKO. Zákon č. 21/1992 Sb. ze dne 20. prosince 1991 o bankách a o změně a doplnění dalších zákonů (zákon o bankách). In: Sbírka zákonů České republiky. 1992, částka 5, s. 0098. 11. ČESKO. Zákon č. 87/1995 Sb. ze dne 20. dubna 1995 o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících a o změně a doplnění dalších zákonů (zákon o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících). In: Sbírka zákonů České republiky. 1995, částka 18. s. 984. 76
12. ČESKO. Zákon č. 89/2012 Sb. ze dne 3. února 2012 občanský zákoník a o změně a doplnění dalších zákonů (občanský zákoník). In: Sbírka zákonů České republiky. 2012, částka 33, s. 1026. 13. ČESKO. Zákon č. 124/2002 Sb. ze dne 13. března 2002 o převodech peněžních prostředků, elektronických platebních prostředcích a platebních systémech a o změně a doplnění dalších zákonů (o převodech peněžních prostředků, elektronických platebních prostředcích a platebních systémech). In: Sbírka zákonů České republiky. 2002, částka 55, s. 3135. (Zrušeno 1. 11. 2009, zák. č. 284/2009). 14. ČESKO. Zákon č. 181/2014 Sb. ze dne 23. července 2014 o kybernetické bezpečnosti a o změně a doplnění dalších zákonů (zákon o kybernetické bezpečnosti). In: Sbírka zákonů České republiky. 2014, částka 75. s. 1926. 15. ČESKO. Zákon č. 191/1950 Sb. ze dne 20. prosince 1950 směnečný a šekový a o změně a doplnění dalších zákonů (zákon směnečný a šekový). In: Sbírka zákonů České republiky. 1950, částka 73, s. 0479. 16. ČESKO. Zákon č. 229/2002 Sb. ze dne 9. května 2002 o finančním arbitrovi a o změně a doplnění dalších zákonů (zákon o finančním arbitrovi). In: Sbírka zákonů České republiky. 2002, částka 87, s. 5047. 17. ČESKO. Zákon č. 253/2008 Sb. ze dne 5. června 2008 o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu a o změně a doplnění dalších zákonů (zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu). In: Sbírka zákonů České republiky. 2008, částka 80, s. 3686. 18. ČESKO. Zákon č. 254/2004 Sb. ze dne 13. dubna 2004 o omezení plateb v hotovosti a o změně a doplnění dalších zákonů (zákon o omezení plateb v hotovosti). In: Sbírka zákonů České republiky. 2004, částka 83, s. 5426. 19. ČESKO. Zákon č. 284/2009 Sb. ze dne 22. července 2009 o platebním styku a o změně a doplnění dalších zákonů (zákon o platebním styku). In: Sbírka zákonů České republiky. 2009, částka 89, s. 4174. 20. ČESKO. Zákon č. 500/2004 Sb. ze dne 24. června 2004 správní řád a o změně a doplnění dalších zákonů (správní řád). In: Sbírka zákonů České republiky. 2004, částka 174, s. 9782. Vyhlášky: 21. ČESKO. Vyhláška 62/2004 Sb. ze dne 2. února 2004, kterou se stanoví způsob provádění platebního styku mezi bankami, zúčtování na účtech u bank a technické postupy bank při opravném zúčtování. In: Sbírka zákonů České republiky. 2004, částka 20, s. 911. (Zrušeno dne 28. 6. 2011, vyhl. 169/2011.) 77
22. ČESKO. Vyhláška 140/2011 Sb. ze dne 12. května 2011 o platebních systémech s neodvolatelností zúčtování. In: Sbírka zákonů České republiky. 2011, částka 54, s. 1386. 23. ČESKO. Vyhláška č. 141/2011 Sb. ze dne 13. května 2011 o výkonu činnosti platebních institucí, institucí elektronických peněz, poskytovatelů platebních služeb malého rozsahu a vydavatelů elektronických peněz malého rozsahu. In: Sbírka zákonů České republiky. 2011, částka 54, s. 1407. 24. ČESKO. Vyhláška č. 142/2011 Sb. ze dne 13. května 2011 o předkládání informací platebními institucemi, institucemi elektronických peněz, poskytovateli platebních služeb malého rozsahu a vydavateli elektronických peněz malého rozsahu České národní bance. In: Sbírka zákonů České republiky. 2011, částka 54. s. 1479. 25. ČESKO. Vyhláška č. 169/2011 Sb. ze dne 7. června 2011 o stanovení pravidel tvorby čísla účtu v platebním styku. In: Sbírka zákonů České republiky. 2011, částka 61, s. 1721. 26. ČESKO. Vyhláška č. 316/2014 Sb. ze dne 15. prosince 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti). In: Sbírka zákonů České republiky. 2014, částka 127, s. 3972. 27. ČESKO. Vyhláška 317/2014 Sb. ze dne 15. prosince 2014 o významných informačních systémech a jejich určujících kritériích. In: Sbírka zákonů České republiky. 2014, částka 127, s. 4007. Směrnice: 28. EU. Směrnice Evropského parlamentu a Rady č. 2007/64/ES ze dne 13. listopadu 2007 o platebních službách na vnitřním trhu. In: EU, Úřední věštník L. 2007, částka 319, s. 1. 29. EU. Směrnice Evropského parlamentu a Rady č. 2009/110/ES ze dne 16. září 2009 o přístupu k činnosti institucí elektronických peněz, o jejím výkonu a o obezřetnostním dohledu nad touto činností. In: EU, Úřední věštník L. 2009, částka 267, s. 7. 30. EU. Směrnice Evropského parlamentu a Rady č. 98/26/ES ze dne 19. května 1998 o neodvolatelnosti zúčtování v platebních systémech a v systémech vypořádání obchodů s cennými papíry. In: EU, Úřední věštník L. 1998, částka 166, s. 45 31. EU. Směrnice Evropského parlamentu a Rady č. 2009/44/ES ze dne 6. května 2009, kterou se mění směrnice 98/26/ES o neodvolatelnosti zúčtování v platebních systémech a v systémech vypořádání obchodů s cennými papíry a směrnice 2002/47/ES o dohodách o finančním zajištění, pokud jde o propojené systémy a pohledávky z úvěru. In: EU, Úřední věstník L. 2009, částka 146, s. 37. 78
Úmluvy: 32. ČESKO. Úmluvy č. 15/1932 Sb. o potírání penězokazectví ze dne 20. 8. 1931. In: Sbírka zákonů České republiky. 1932, částka 6, s. 49. Nařízení vlády: 33. ČESKO. Nařízení vlády č. 432/2010 Sb. ze dne 22. prosince 2010 o kritériích pro určení prvku kritické infrastruktury. In: Sbírka zákonů České republiky. 2010, částka. 149, s. 5623. 34. ČESKO. Nařízení vlády č. 315/2014Sb. ze dne 8. prosince 2014, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. Sbírka zákonů České republiky. 2014, částka 127, s. 3964.
Elektronické dokumenty 35. KLUFA,František, KOZLOVÁ, Michaela, SCHOLZ,Petr.Podvody v oblastibezhotovostních platebv ČR(studie)[online].2009.Dostupné z:http://prevencrepodvoducz/users/ files/projekto-podvodech/A5_bezhotovostni_podvody.pdf
Internetové zdroje 36. Bankovní malware, aneb s jakými útoky jsem se mohli setkat v roce 2014 , Clever and smart.cz[online]18.01.2015.[cit.2015-22-01]. Dostupné z: http://www.cleverandsmart.cz/bankovni-malware-aneb-s-jakymi-utoky-jsem-se-mohlisetkat-v-roce.2014/ 37. Banky bijí na poplach, útoků na účty přibývá, Novinky. Cz [online] 18.01.2015[cit.2015-1002] Dostupné z: http://www.novinky.cz/internet-a-pc/bezpecnost/359035-banky-bijí-na-poplach-utoku-naucty-pribyva-html. 38. Blesk láká na peněženku, platební kartu chystá i COOP. Aktuálně.cz [online]. 15.10.2014 [cit.2014-28-10]. Dostupné z:
79
http://www.zpravy.aktualne.cz/finance/nakupovani/s-bleskem-muzete-nove-platit-vlastnikartu-chysta-i-coop/r~47fd27f4546411e4b4ab002592e 39. Česká spořitelna varovala před virem, který vysává peníze z účtů, Novinky.Cz. [online]07.09.2014[cit.2014-10-12] Dostupné z: http://www.novinky.cz/internet-a-pc/bezpecnost/347018-ceska-sporitelna-varovala-predvirem-ktery-lidem-vysava-penize-z-uctu. html 40. Další vlna phishingu od České pošty s ransomware šifrujicim soubory , Clever and smart.cz [online]14.11.2014.[cit.2015-22-01]Dostupné z: http:// www. cleverandsmart. cz/dalsi – vlna – phishingu – od -ceske-posty-s-ransomwaresifrujicim-soubory/ 41. Další vlna pohledávkového SPAMu, tentokrát od mobilního operátora, Clever and smart.cz [online]23.10.2014.[cit.2015-20-01]Dostupné z: http://www.clverandsmart.cz/dalsi-vlna-pohledavkoveho-spamu-tentokrat-od-mobilnihooperatora/ 42. Dávejte si pozor na platební kartu ! FinExpert.cz [online] 23.1.2013 [cit.2014-08-12] Dostupné z: http://www.finexpert.e15.cz/davejte-si-pozor-na-platební-kartu 43. Deset miliónů virů ohrožuje chytré telefony a tablet s Androidem Novinky.Cz [online] 07.02.2014[cit.2014-27-10]. Dostupné z: http://www.novinky.cz/internet-a-pc/mobil/326999-deset-milionu-viru-ohrozuje-chytretelefony-a-tablety-s-androidem-htlm 44. Digitální peněženka V. me v ČR v roce 2015. Bankovni poplatky. com [online]. 17.7.2014 [cit.2014-28-10]. Dostupné z: http://www.bankovni poplatky.com/digitalni-penezenka-v-me-v-cr-v-roce-2015-24099 45. ECB announces theft of contact information, EuropeanCentral Bank, eu. [online]24.07.2014 [cit.2014-15-11].Dostupné: http://www.ecb.europa.eu/press/pr/date/2014/html/pr140724.html. 46. Hackeři se dostali k 70 miliónům PINů platebních karet zákazníků obchodního řetězce, Novniky Cz [online]10.01.2014[cit.2014-27-10]. Dostupné z: http://www.novinky.cz/internet-a-pc/324208-hackeri-se-dostali-k-70-milionum-pinuplatebnich-karet-zakazniku-obchodniho-retezce.html 47. Hackeři ukradli data k e-mailům společnosti Yahoo, Novinky. Cz. [online]31.01.2014 [cit.2014-27-1]. Dostupné z: http://www.novinky.cz/internet-a-pc/326184-hackeri-ukradli-data-k-emailum-spolecnostiYahoo.html 48. Hackeři vyvinuli program pro vykrádání bankomatů bez karet, Deník.cz [online] 09.10.2014.[cit.2015-08-01]. Dostupné z: 80
http://www.denik.cz/ekonomika/hackeri-vyvinuli-program-pro-vykradani-bankomatu-bezkaret-20141009.html 49. Historie bank. Peníze.org [online]. 2006-2014 [cit.2014-01-10]. Dostupné z: http://www.penize. org/banky-historie 50. Historie ČNB. Česká národní banka [online]. 2003-2014 [cit.2014-09-10]. Dostupné z: http://www.historie.cnb.cz/cs/bezhotovostní-platebni-styk 51. Historie ČNB. Česká národní banka [online]. 2003-2014 [cit.2014-09-10]. Dostupné z: < http://www.historie.cnb.cz/cs/bezhotovostní-platebni-styk 52. Historie peněz. Vysoký úrok [online]. 2008-2014 [cit.2014-18-09]. Dostupné z: http://www.vysokyurok.cz/ historie-penez 53. Chce po vás přítel peníze? POZOR!, Policie.cz [online] 30.5.2014. [cit.2015-20-01] Dostupné z: http://www.policie.cz/clanek/web-informacni-servis-zpravodajstvi-chce-po-vas-pritelpenize-pozor.aspx. 54. Internetové bankovnictví, Bezpečný internet, Cz. [online] 2015 [cit.2015-29-01]. Dostupné: http://www.bezpecny.internet.cz/pokrocily/internetove-bankovnictvi/default.aspx 55. Jak došly platební karty do českých zemí aneb historie plná zajímavostí. Peníze.cz [online]. 27.4.2007 [cit.2014-15-10]. Dostupné z: http://www.penize.cz/platebni-karty//187777-jak-dosly-platebni-karty-do-ceskych-zemianeb-historie-karet-plna-zajimavosti 56. Jak probíhá útok na klienty internetového bankovnictví – 3. díl, Clever and smart.Cz [online]15.01.2015[cit.2015-10-02]. Dostupné z: http://www.cleverandsmart.cz/jak-probiha-utok-na-klienty-internetoveho-bankovnictvi3.dil/ 57. Jak probíhá útok na klienty internetového bankovnictví-2.díl, Clever and smart.Cz [online] 31.07.2014 [cit.2015-10-02]. Dostupné z: http://www.cleverandsmart.cz/jak-probiha-utok-na-klienty-internetoveho-bankovnictvi2.dil/ 58. Jak správně vybírat z bankomatu, Poraď.Cz, Osobní finance [online] 2008-2015[cit.201505-02.]. Dostupné z: http://www.osobni-finance.porad.cz/kreditni-karty/navod/jak-spravne-vybirat-zbankomatu.html. 59. K podvodu použili skimmeři z Ukrajiny 3D tiskárnu, Policejní deník [online] 07.01.2015. [cit.2015-15-01]. Dostupné z: http://www. policie.cz/clanek/k-podvodu-skimmeri-pouzili-3d-tiskarnu.aspx 81
60. Klient Fio Banky se stal oběti phishingu, Svet androida.cz [online] 10.07.2014. [cit.201530-01]. Dostupné z: http://www.svetandroida.cz/Fio-banka-phishing-201407/ 61. Kybernetické hrozby jsou stále aktuálnější, Policie. Cz[online] 19.9.2014.[ct.2015-20-01]. Dostupené z: http: //www.police.cz/clanek/kyberneticke-hrozby-jsou-stále-aktualnejsi-aspx. 62. Miliónovou hru zneužívají počítačoví piráti, Novinky.Cz[online]16.02.2014[cit.2014-2710]. Dostupné z: http://www.novinky.cz/internet-a-pc/hry-a-herni-systemy/327726-milionovou-hruzneuzivaji-pocitacovi-pirati.html 63. Národní strategie kybernetické bezpečnosti, Národní centrum kybernetické bezpečnosti,[ online]2015[cit.2015-03-11]. Dostupné z: http://www.govcert.cz/cs/informacni-servis/strategie-a-akcni-plan/ 64. Nebezpečná chyba Internet Exploreru ohrožuje desítky miliónů lidí,Novinky.Cz[online] 28.04.2014[cit.2014-30-10]. Dostupné z: http://www.novinky.cz/internet-a-pc/software/334749-nebezpecna-chyba-internetexploreru-ohrozuje-destiky-milionu-lidi.html. 65. Němci odhalili obří krádež miliónů e-mailů, Novinky.Cz[online]04.04.2014[cit.2014-30-10] Dostupné z: http://www.novinky.cz/internet-a-pc/332497-nemci-odhalili-obri-kradez-milionu-emailu.html. 66. Nepřišly esemesky, pak z účtu zmizelo 70 tisíc, popsal klient banky, Idnes .cz [online] 19.09.2014.[cit.2015-30-01].Dostupné z: http://www.ekonomika.idnes.cz/klient-air-bank-příšel-o-70-tisic-skoncily-v-belgii-fbu/ekonomika.aspx?c=140919-092433-ekonomika-fih/ 67. Obětí phishingu a škodlivých virů přibývá. ČSOB [online] 2015. [cit. 2015- 15- 01] Dostupné z: http://www.csob.cz/cz/Csob/Servis-pro-meidia/Tiskove-zprávy/Stranky/TZ150115.aspx. 68. Obchodní podmínky SIPO. Česká pošta [online]. 2014 [cit.2014-14-10]. Dostupné z: http://www.ceskaposta.cz/documents/10180/282551/Obchodni-podminky-SIPO20140901.pdf 69. Odhalena největší krádež v historii internetu. Stopy vedou do Ruska, Novinky.Cz [online]06.08.2014[cit.2014-30-10]. Dostupné z: 82
http://www.novinky.cz/internet-a-pc/bezpecnost/334662-odhalena-nejvetsi-kradez-vhistorii-internetu- stopy-vedou-do-ruska.html. 70. Platební styk, Certis, statistické údaje . Česká národní banka[online]. 2003-2015[cit.201502-03]. Dostupné z: https://www.cnb.cz/platebni_styk/certis/certis_stat.html 71. Počítačoví piráti zaútočili na stránky Kremlu a ruské centrální banky, Novinky.Cz [online]14.03.2014[cit.2014-27-10] Dostupné z: http://www.novinky.cz/internet-a-pc/330336-pocitacovi-pirati-zautočili-na-strankyKremlu-a-ruske-centrálni-banky.html. 72. Podvodné e-maily, prosím pozor! PPL Professional parcel logistic.cz [online] 18.09.2014. [cit.2015-30-01]Dostupné z: http://www.ppl.cz/main.aspx?cls=art2art id=32707/ 73. Podvodníci napálili stovky tisíc lidí, pomalu jim vysávají peníze přes telefon, Novinky.Cz [online]17.02.2014[cit.2014-27-10]. Dostupné z: http://www.novinky.cz/internet-a-pc/327924-podvodnici-napalili-stovky-tisic-lidi-pomalujim-vysavaji-penize-pres-telefon.html. 74. Podvodníci se jednoduchou fintou dostanou i na váš účet! Jakou? TN.CZ [online] 05.01.2015 [cit.2015-24-01]. Dostupné z: http://www.tn.nova.cz/clanek/podvodnici-se-jednoduchou-fintou-dostanou-i-na-vas-ucetjakou.html. 75. Právní regulace bezhotovostního platebního styku. Právní rádce [online] . 2007-2014 [cit.2014-18-09]. Dostupné z: http://www.pravniradce.ihned.cz/cl-22286300-pravni-regulace-bezhotovostnihoplatebniho.styku.pdf 76. Probíhá phishing na klienty internetového bankovnictví ČS, Clever and smart.cz [online] 13.12.2014. [cit.2015-20-01].Dostupné z: http://www.cleverandsmart.cz/probiha-phishing-na-klienty-internetoveho-bankovnictvi-cs/ 77. Probíhá phishing na klienty internetového bankovnictví ČSOB, Clever and smart.cz online] 03.06.2014.[cit.2015-20-01]. Dostupné z: http://www.cleverandsmart.cz/probiha-phishing-na-klienty-internetoveho-bankovnictvicsob/ 78. Přichází Diova dcera Áté, aneb jak tzv. pohledávkový SPAM zasáhl Česko , Clever and smart.cz [online] 26.11.2014. [cit.2015-20-01]. Dostupné z: http://www.cleverandsmart.cz/prichazi-diova-dcera-ate-aneb-jak-tzv-pohledvakovy-spamzasahl-cesko/
83
79. Rada pro kybernetickou bezpečnost, Národní centrum kybernetické bezpečnosti, [online]2015[cit.2015-03-11]. Dostupné z: http://www.govcert.cz/cs/rkb/rada-pro-kybernetickou-bezpecnost/ 80. Řízení před finančním arbitrem, Finanční arbitr,cz.[online]2015[cit.2015-19-02] Dostupné: http://www.finarbitr.cz/cs/financni-arbitr/kancelar-financniho-arbitra.html 81. Sdružení pro platební karty[online] 2014. [cit.2014-26-10]. Dostupné z: http:// statistiky.cardzone.cz/download/sbk_statistika_2kv_2014.pdf 82. Skimming 2013, Policie ČR [online] 2015. [cit.2015-08-01]. Dostupné z: http://www.policie.cz/ clanek/skimming-2011.aspx 83. Skimming 2014, Policie ČR [online] 2015. [cit.2015-09-04]. Dostupné z: http://www.policie.cz/ clanek/skimming-2013.aspx 84. Tajné služby sbíraly osobní údaje o hráčích Angry Birds, Novinky. Cz. [online] 27.01.2014[cit.2014-27-10]. Dostupné z: http://www.novinky.cz/zahranicni/amerika/325794-tajne-sluzby-sbiraly-osobni-udaje-ohracich-angry-birds.html 85. Upozornění na nový phishingový útok, Česká Spořitelna, a.s. [online] 07.05.2014. [cit.2015-30-01].Dostupné: http://www.csac.a.s.cz/banka/coonect/inet/banka/internet/news_ie_2126.xml?archive.Page =press-release-archive&navid=navsym_00119_archiv_tiskovych_zprav_/ 86. Upozorňujeme na novou podobu počítačového viru, Česká Spořitelna, a.s.[online] 16. 05. 2014.[cit.2015-05-02] Dostupné z: http://www.csas.cz/banka/content/inet/banka/internet/news_ie_2134.xml?archivePage=pre ss-release-archive&navid =navsym_00119_archiv_tiskovych_zprav/
87. Útočníci používají SMS k výběru z infikovaných bankomatů , Computerworld.cz [online] 27.03.2014. [cit.2015-15-01] Dostupné z: http://www.computerworld.cz/securityworld//utocnici-pouzivaji-sms-k-vyberu-zinfikovanych-bankomatu-50944 88. Útoky na bankomaty neustávají, škoda se už pohybuje v miliónech dolarů, Clever and smart.cz [online] 10.10.2014. [cit.2015-08-01]. Dostupné z: http://www.cleverandsmart.cz/utoky-na-bankomaty-neustavaji-skoda-se-uz-pohybuje-vmilionech-dolaru./comment-page-1/ 84
89. Útoky na banky v roce 2015 zintenzivní. ICT manažer, informace pro váš efektivnější byznys [online] 2.12.2014 [cit.2015-08-01]. Dostupné z: http://www.ictmanazer.cz/2014/12/utoky-na-banky-v-roce-2015-zintenzivni/ 90. Útvar proti kyberkriminalitě by měl fungovat od příštího roku, České noviny, Cz. [online] 23.01.2015[cit.2015-19-02]. Dostupné z: http://www.ceske.noviny.cz/zpravy/utvar-proti-kriminalite-by-mel-fungovat-od-pristihoroku/1172499 91. Velká e-mailová krádež se týkala i Čechů, Novinky. Cz. [online]23.01.2014[cit.2014-2710]. Dostupné z: http://www.novinky.cz/internet-a-pc/325392-velka-e-mailova-kradez-se-tykala-icechu.html 66. Visa Europe se připravuje na spuštění Apple Pay, zavádí tokenizaci. Jablíčkář.Cz[online] 25.2.2015 Dostupné z: http://jablickar.cz/visa-europe-se-pripravuje-na-spusteni-apple-pay-zavadi-tokenizaci// 92. Vysáli muži 360 tisíc přes mobil, banka mu vyplatila jen bolestné, Novinky.Cz[online] 26.2.2015. Dostupné z: http://www.novinky.cz/finance/362690-vysali-muzi-360-tisic-pres-mobil-banka-muposkytla-jen-bolestne.htlm// 93. Z eBay bylo ukradeno 145 miliónů hesel,Novinky.Cz[online]22.05.2014[cit.2014-30-10] Dostupné z: http://www.novinky.cz/internet-a-pc/bezpecnost/336991-z-ebay-bylo-ukradeno-145milionu-hesel.html. 94. Změňte hesla vyzývají experti, kvůli chybě krvácejícího srdce, Novinky. Cz [online] 09.04.2014[cit.2014-27-10] Dostupné z: http://www.novinky.cz/internet-a-pc/33043-zmente-hesla-vyzyvaji-pocitacovi-expertikvuli-chybe-krvacejiciho-srdce.html.
85
Seznam obrázků Obrázek 1: Historický vývoj bezhotovostního platebního styku na našem území ................... 16 Obrázek 2: Vývoj platební karty na našem území .................................................................... 22 Obrázek 3: Přední strana identifikační karty ........................................................................... 25 Obrázek 4: Ukázka bezkontaktní platební karty – Blesk peněženka........................................ 29 Obrázek 5: Bankomat se skimmovacím zařízením a falešnou klávesnicí ................................ 37 Obrázek 6: Ukázka podvodné e-mailové zprávy – útok na klienty České spořitelny .............. 55 Obrázek 7: Ukázka podoby počítačového viru, který vyzývá na podvodných stránkách ke stáhnutí aplikace do mobilního telefonu................................................................................... 56
Seznam tabulek Tabulka 1: Druhy platebních karet …………………………………………………………..23
Seznam grafů Graf 1: Přehled skimmingu na našem území v období let 2005-2014 ..................................... 38 Graf 2: Co je považováno za nejméně bezpečné ...................................................................... 58 Graf 3: Co považují za nejméně bezpečné jednotlivé věkové kategorie .................................. 59
Seznam příloh Příloha 1
Tabulka rozdělení platebního styku ........................................................................ 1
Příloha 2
Vzor formuláře SIPO ........................................................................................... 1-3
Příloha 3
Formuář Trvalý příkaz k úhradě ............................................................................. 1
Příloha 4
Ukázka šeku….…………………………………………………………………...1
86
Příloha 1 Tabulka rozdělení platebního styku
Kritérium
Formy platebního styku
Způsob placení
Hotovostní
Bezhotovostní
Elektronický
Území (teritorium)
Vnitrostátní
Přeshraniční
Zahraniční
Vztah banky k převodu
Bezzávazkový
Závazkový
Lhůty realizace
Expresní
Standartní
Náležitosti
Nedokumentární
Dokumentární
průvodních
dokumentů
Zdroj: SCHLOSSBERGER O. Platební služby. s. 12-13; konstrukce vlastní
1
Příloha 2 Inkasní příkaz Inkasní způsob platby se používá u velkých podniků, pro které je výhodné, že nemusí hlídat došlé platby od velkého množství malých odběratelů. Jedná se hlavně o dodavatele energií, bytová družstva a další dodavatele pravidelně se opakujících služeb. Veškeré tyto úhrady se soustřeďují pod tzv. SIPO – Soustředěného inkasa plateb obyvatelstva. Tuto službu zajišťuje Česká pošta, která sdružuje klientem vybrané platby do jediné konsolidované platby. Ze strany klienta stačí provedení této jediné platby a Česká Pošta (dále jen ČP) ji pak na základě smluv uzavřených s jednotlivými organizacemi rozdělí mezi ně. Smluvní vztah mezi ČP a žadatelem o SIPO vzniká okamžikem přijetí řádně vyplněného formuláře SIPO Českou poštou, s.p., při čemž je žadateli vydán písemný doklad s přiděleným Spojovacím číslem. Toto číslo je neměnné po dobu existence klientova SIPO, je spojeno výhradně s konkrétní osobou a nelze jej převést na jinou sobou (např. při smrti, rozvodu apod). Následně dá klient „ Svolení k inkasu SIPO „ – kdy se jedná o poskytnutí souhlasu své bance, aby pravidelně inkasovala z jeho bankovního účtu prostředky na úhradu aktuálních Platebních položek SIPO uvedených v „ Platebním dokladu SIPO – Bezhotovost „ včetně poplatků za služby SIPO, a převáděla tuto úhradu ve prospěch účtu ČP. Položky plateb SIPO jsou buď neměnné (koncesionářský poplatek za TV, rozhlas, zálohy za energie), nebo proměnlivé (měsíční platba za telefon). Klient si současně nastaví ve své bance „ Inkasní limit SIPO„ , který je nutno zvolit s dostatečnou rezervou, kdy v případě překročení daného limitu, nebo nedostatečného krytí finančních prostředků na účtu klienta , není v daném měsíci platba SIPO bankou inkasována (kdy ČP za vznik takové situace nenese odpovědnost). Aktuální seznam bank spolupracujících s Českou poštou na úhradách SIPO a ceník služeb SIPO lze nalézt na internetových stránkách ČP.1
1
Obchodní podmínky SIPO. Česká pošta
[online].
2014
[cit.2014-14-10].
Dostupné na WWW.<
http://www.ceskaposta.cz/documents/10180/282551/Obchodni-podminky-SIPO-20140901.pdf>
1
Princip příkazu k inkasu DLUŽNÍK Plátce platby
VĚŘITEL Příjemce platby 1. Příkaz k inkasu dlužné částky
3. Přezkoumání oprávněnosti inkasa a zatížení účtu plátce
5. Připsání platby ve prospěch účtu příjemce
BANKA Příjemce platby
4. Poukázání platby ve prospěch příjemce platby 2. Žádost o odepsání peněžních prostředků z účtu plátce
Zdroj: DVOŘÁK P. Bankovnictví pro bankéře a klienty. s.352
2
BANKA Plátce platby
Vzor fomuláře SIPO
Zdroj: Formulář SIPO, Česká pošta, sp.
3
Příloha 3 Formulář trvalého příkazu k úhradě
Zdroj: Trvalý příkaz, UniCredit Bank Czech Republic and Slovakia, a.s.
1
Příloha 4 Ukázka cestovního šeku
Reklama na výhody cestovních šeků
Zdroj: JUŘÍK, Pavel. Platební karty, ilustrovaná historie placení.s.30. 1
